Cisco heeft twee kritieke kwetsbaarheden verholpen in zijn Identity Services Engine (ISE) die een geauthenticeerde, externe aanvaller in staat kunnen stellen om willekeurige opdrachten als root uit te voeren, gevoelige informatie te verkrijgen, configuraties te wijzigen en getroffen apparaten opnieuw op te starten.
Om deze kwetsbaarheden met gevarenscores van 9,9 en 9,1 op een schaal van 10 te misbruiken, zijn geldige beheerdersreferenties met alleen-lezenrechten vereist. Als een kwaadwillende deze admin-inloggegevens weet te stelen of kopen, kan diegene in stilte volledige controle over de apparatuur krijgen. Dit zelfs nadat men dacht de aanvaller buiten de deur te hebben gehouden. Dit meldt The Register.
NCC Group schreef vorig jaar een toename van ransomware-aanvallen deels toe aan gecompromitteerde inloggegevens. Dit geeft aan dat dergelijke gegevens niet al te moeilijk te verkrijgen zijn. Ook malafide insiders kunnen misbruik maken van deze kwetsbaarheden.
Beide kwetsbaarheden treffen Cisco ISE en Cisco ISE Passive Identity Connector (ISE-PIC) versies 3.0 tot 3.3. Dit ongeacht de apparaatconfiguratie. Voor beide versies zijn patches beschikbaar. Versie 3.4 is niet vatbaar voor deze kwetsbaarheden. Gebruikers van oudere, getroffen versies wordt geadviseerd om te upgraden naar een gepatchte release zoals vermeld in het beveiligingsadvies.
Cisco heeft tevens instructies verstrekt over hoe een apparaat te upgraden, die te vinden zijn in de Upgrade Guides-documentatie op de Cisco Identity Services Engine-supportpagina.
Geen actieve exploits
Voor zover bekend zijn er op dit moment nog geen actieve exploits in omloop. De eerste kwetsbaarheid, CVE-2025-20124, is het gevolg van onveilige deserialisatie van door gebruikers verstrekte Java-bytestromen in Cisco ISE, software voor netwerktoegangscontrole die beveiligingsbeleid afdwingt en endpoints in IT-omgevingen van bedrijven beheert.
De kwetsbaarheid bevindt zich in een API van Cisco ISE en kan worden misbruikt door een speciaal geformatiseerd geserialiseerd Java-object naar de getroffen API te sturen. Een succesvolle exploit kan de aanvaller in staat stellen willekeurige opdrachten op het apparaat uit te voeren en privileges te verhogen, waarschuwde Cisco in zijn beveiligingsadvies.
Cisco kende de ontdekking en rapportage van deze kwetsbaarheid toe aan Dan Marin en Sebastian Radulea van Deloitte. De tweede kwetsbaarheid, een autorisatiebypass, wordt gevolgd onder CVE-2025-20125 en werd eveneens door Radulea onthuld.
Gevoelige informatie stelen
Een kwetsbaarheid in een API van Cisco ISE kan een geauthenticeerde, externe aanvaller met geldige alleen-lezen referenties in staat stellen om gevoelige informatie te verkrijgen, knooppuntconfiguraties te wijzigen en het knooppunt opnieuw op te starten, luidt een waarschuwing van Cisco zelf.
Deze kwetsbaarheid ontstaat doordat een specifieke API geen autorisatiecontroles uitvoert. Of gebruikersgegevens niet correct valideert. Het kan worden geactiveerd door een HTTP-verzoek naar de API op het apparaat te sturen.
Cisco benadrukt dat de kwetsbaarheden niet van elkaar afhankelijk zijn. Dit betekent dat het niet nodig is om de ene uit te buiten om ook de andere te misbruiken. Beide kritieke beveiligingslekken volgen op een eerdere kwetsbaarheid met een score van 9,9 in Cisco’s Meeting Management-tool. Die stelde een geauthenticeerde externe aanvaller met lage rechten in staat om beheerdersrechten te verkrijgen op getroffen apparaten. Cisco heeft dat lek enkele weken geleden al verholpen.