Cisco heeft maandag zijn advies bijgewerkt voor een reeks recent bekendgemaakte beveiligingsfouten in Identity Services Engine (ISE) en ISE Passive Identity Connector (ISE-PIC) om actieve uitbuiting te erkennen.
“In juli 2025 werd het Cisco Psirt (Product Security Incident Response Team) zich bewust van een poging tot exploitatie van enkele van deze kwetsbaarheden in het wild,” zei het bedrijf in een melding.
De leverancier van netwerkapparatuur heeft niet bekendgemaakt welke kwetsbaarheden zijn bewapend in real-world aanvallen, de identiteit van de dreigingsacteurs die hen exploiteren, of de schaal van de activiteit.
Cisco ISE speelt een centrale rol in netwerktoegangscontrole, beheren welke gebruikers en apparaten op bedrijfsnetwerken zijn toegestaan en onder welke voorwaarden. Een compromis bij deze laag kan aanvallers onbeperkte toegang geven tot interne systemen, het omzeilen van authenticatiecontroles en houtkapmechanismen – een beleidsmotor in een open deur brengen.
De kwetsbaarheden die in de waarschuwing worden geschetst, zijn allemaal cruciaal beoordeelde bugs (CVSS -scores: 10.0) waarmee een niet -geauthenticeerde, externe aanvaller commando’s op het onderliggende besturingssysteem kan uitgeven als de rootgebruiker –
- CVE-2025-20281 En CVE-2025-20337 – Meerdere kwetsbaarheden in een specifieke API waarmee een niet -geauthenticeerde, externe aanvaller willekeurige code op het onderliggende besturingssysteem als root kan uitvoeren
- CVE-2025-20282 – Een kwetsbaarheid in een interne API waarmee een niet -geauthenticeerde, externe aanvaller willekeurige bestanden naar een getroffen apparaat kan uploaden en die bestanden vervolgens als root op het onderliggende besturingssysteem uitvoeren
Hoewel de eerste twee fouten het resultaat zijn van onvoldoende validatie van door de gebruiker geleverde invoer, komt de laatste voort uit een gebrek aan bestandsvalidatiecontroles waardoor geüploade bestanden in bevoorrechte mappen op een getroffen systeem worden geplaatst.
Als gevolg hiervan zou een aanvaller deze tekortkomingen kunnen benutten door een vervaardigd API-verzoek in te dienen (voor CVE-2025-20281 en CVE-2025-20337) of het uploaden van een vervaardigd bestand naar het getroffen apparaat (voor CVE-2025-20282).
In het licht van actieve uitbuiting is het essentieel dat klanten zo snel mogelijk upgraden naar een vaste software -release om deze kwetsbaarheden te verhelpen. Deze gebreken zijn op afstand exploiteerbaar zonder authenticatie en worden niet-geëxciteerde systemen met een hoog risico op de uitvoering van pre-Auth Remote Code-een bovenste zorg voor verdedigers die kritieke infrastructuur of compliance-aangedreven omgevingen beheren.
Beveiligingsteams moeten ook systeemlogboeken beoordelen voor verdachte API -activiteit of ongeautoriseerde bestandsuploads, vooral in extern blootgestelde implementaties.
