Root-level RCE w Cisco ISE: nowe krytyczne luki dające pełną kontrolę bez uwierzytelnienia

Rola Cisco ISE w infrastrukturze IT – dlaczego to ważne?

Cisco ISE to narzędzie wykorzystywane w organizacjach do centralnego zarządzania politykami dostępu, uwierzytelniania i autoryzacji użytkowników oraz urządzeń w sieci. Znajduje zastosowanie w dużych korporacjach, instytucjach finansowych, sektorze zdrowia i administracji publicznej. Kompromitacja tego systemu to nie tylko zagrożenie dla pojedynczego urządzenia – to potencjalne otwarcie drzwi do całej sieci, co może prowadzić do masowego wycieku danych, szantażu lub sabotażu.

Opis podatności: CVE‑2025‑20281 i CVE‑2025‑20282

Pierwsza z luk – CVE‑2025‑20281 – to błąd w walidacji danych wejściowych przy przetwarzaniu żądań HTTP przez publiczne API Cisco ISE. Atakujący może przesłać specjalnie przygotowane żądanie HTTP zawierające złośliwy kod, który następnie zostaje wykonany na systemie operacyjnym urządzenia z uprawnieniami root.

Druga luka – CVE‑2025‑20282 – związana jest z mechanizmem obsługi plików w interfejsie wewnętrznego API. Pozwala ona na przesyłanie plików do katalogów systemowych, a następnie ich uruchomienie, co również skutkuje wykonaniem dowolnego kodu na poziomie systemowym.

Obie podatności mają charakter logiczny i wynikają z braku odpowiednich mechanizmów kontroli dostępu oraz niewystarczającej izolacji warstw systemowych.

Dlaczego te luki są tak niebezpieczne?

W odróżnieniu od wielu innych zagrożeń, które wymagają interakcji użytkownika, np. kliknięcia linku czy pobrania pliku, podatności w Cisco ISE mogą zostać wykorzystane całkowicie pasywnie – bez jakiejkolwiek ingerencji ze strony administratora. Haker posiadający dostęp do sieci wewnętrznej lub przez źle zabezpieczony endpoint może po prostu wysłać odpowiednie żądanie HTTP i zyskać pełną kontrolę nad urządzeniem. Co gorsza, Cisco ISE to nie tylko router czy przełącznik – to centralna platforma służąca do zarządzania tożsamościami i dostępem w całej organizacji. Przejęcie jej równa się w praktyce przejęciu sieci.

Zakres i wersje podatne na atak

Według oficjalnego komunikatu Cisco podatność CVE‑2025‑20281 dotyczy wszystkich wersji ISE od 3.3 wzwyż – czyli najnowszych, szeroko wdrożonych środowisk.

Druga podatność, CVE‑2025‑20282, występuje wyłącznie w wersjach 3.4.x. To oznacza, że starsze instalacje (np. 2.x lub 3.1) są potencjalnie bezpieczne, choć narażone na inne znane już wcześniej problemy. Niemniej, wiele organizacji zaktualizowało swoje systemy w ciągu ostatniego roku, co czyni je szczególnie podatnymi na atak.

Potencjalne skutki udanego ataku

Umożliwienie zdalnego wykonania kodu z uprawnieniami root w Cisco ISE oznacza, że atakujący może nie tylko wykonać dowolne polecenia, ale także zainstalować złośliwe oprogramowanie, zmodyfikować polityki sieciowe, podszywać się pod innych użytkowników lub przekierować ruch sieciowy. Cisco ISE pełni funkcję serca infrastruktury NAC (Network Access Control), co oznacza, że kompromitacja tego systemu daje wgląd i kontrolę nad urządzeniami końcowymi, użytkownikami i regułami autoryzacyjnymi w całej organizacji. W praktyce złośliwy aktor może przy użyciu jednej podatności przejąć kontrolę nad całą siecią firmową, nawet jeśli pozostałe komponenty są dobrze zabezpieczone.

Scenariusze zagrożeń – co może się wydarzyć?

Wyobraźmy sobie sytuację, w której atakujący uzyskuje dostęp do panelu ISE, zmienia politykę VLAN dla krytycznych urządzeń, kierując cały ruch do podsłuchiwanej podsieci. Albo nadpisuje reguły firewallowe dla grup użytkowników, otwierając dostęp do serwerów finansowych. W scenariuszu ransomware – instaluje backdoor i szyfruje cały ruch zarządzający, żądając okupu za przywrócenie usług.

Dostępność aktualizacji i status naprawy

Cisco zareagowało szybko i udostępniło odpowiednie aktualizacje zabezpieczeń dla podatnych wersji. Dla ISE 3.3 należy zainstalować Patch 6, a dla wersji 3.4 – Patch 2. Oba patche są dostępne w formie gotowych pakietów .tar.gz do zaimportowania przez interfejs administracyjny ISE. Cisco zaleca niezwłoczne przeprowadzenie aktualizacji – zwłaszcza w środowiskach produkcyjnych z dostępem zdalnym. Co istotne – nie przewidziano obejść programowych ani workaroundów. Jedynym skutecznym środkiem zapobiegawczym jest wdrożenie poprawki.

Czy są znane przypadki wykorzystania tych luk?

Na chwilę obecną – według Cisco oraz niezależnych zespołów bezpieczeństwa – nie odnotowano jeszcze przypadków aktywnej eksploatacji tych podatności. Niemniej, biorąc pod uwagę ich charakter oraz fakt, że nie wymagają uwierzytelniania, specjaliści spodziewają się, że w najbliższych dniach pojawią się publiczne exploity lub skrypty PoC (Proof of Concept). Już teraz trwają analizy kodu ISE w środowiskach testowych w celu rekonstrukcji możliwych wektorów ataku.

Jakie działania powinny zostać podjęte natychmiast?

Organizacje korzystające z Cisco ISE powinny w trybie pilnym zidentyfikować, czy używana wersja systemu znajduje się w zakresie podatności. Jeśli tak – natychmiast pobrać i wdrożyć dostępny patch. W międzyczasie należy ograniczyć dostęp do interfejsów API systemu wyłącznie z zaufanych adresów IP, a także wdrożyć reguły blokujące podejrzane żądania HTTP. Należy również zweryfikować logi systemowe pod kątem nietypowych żądań oraz monitorować komunikację przychodzącą do portów zarządzających.

Jak zabezpieczyć się na przyszłość?

Długofalowo organizacje powinny wdrożyć praktyki bezpieczeństwa „Zero Trust”, obejmujące ograniczenie dostępu do narzędzi zarządzających tylko z segmentów zarządzających, wielowarstwowe uwierzytelnianie (MFA) oraz ciągłe monitorowanie integralności systemów. Konieczne są także cykliczne testy penetracyjne oraz wdrażanie polityk automatycznego aktualizowania systemów.

Podsumowanie

Cisco ISE to newralgiczny element bezpieczeństwa w nowoczesnej infrastrukturze sieciowej. Luki CVE‑2025‑20281 oraz CVE‑2025‑20282 pokazały, jak niebezpieczne mogą być zaniedbania w warstwie API oraz kontroli dostępu. Ich wykorzystanie pozwala na uzyskanie pełnej kontroli nad urządzeniem bez logowania. Każda organizacja korzystająca z ISE powinna potraktować ten alert jako priorytet i podjąć konkretne działania zabezpieczające w ciągu najbliższych godzin.