思科已发布补丁,修复其身份服务引擎(ISE)安全策略管理平台中的两个严重漏洞。
企业管理员将思科 ISE 用作身份与访问管理(IAM)解决方案,该方案将认证、授权和计费功能整合在一台设备中。
这两个安全漏洞(CVE – 2025 – 20124 和 CVE – 2025 – 20125)可被拥有只读管理员权限的已认证远程攻击者利用,在未打补丁的设备上以 root 权限执行任意命令并绕过授权。
这些漏洞会影响思科 ISE 和思科 ISE 被动身份连接器(ISE – PIC)设备,无论设备配置如何。
“此漏洞源于受影响软件对用户提供的 Java 字节流进行不安全的反序列化,” 思科在描述严重程度评级为 9.9(满分 10 分)的 CVE – 2025 – 20124 漏洞时表示。
“攻击者可通过向受影响的 API 发送精心构造的序列化 Java 对象来利用此漏洞。成功利用该漏洞可使攻击者在设备上执行任意命令并提升权限。”
CVE – 2025 – 20125 是由特定 API 中缺乏授权以及对用户提供的数据验证不当导致的,攻击者可利用恶意构造的 HTTP 请求来获取信息、修改易受攻击系统的配置并重启设备。
建议管理员尽快将思科 ISE 设备迁移或升级到下表中列出的修复版本之一。
| 思科 ISE 软件版本 | 首个修复版本 |
|---|---|
| 3.0 | 迁移至修复版本 |
| 3.1 | 3.1P10 |
| 3.2 | 3.2P7 |
| 3.3 | 3.3P4 |
| 3.4 | 不受影响 |
思科产品安全事件响应团队(PSIRT)尚未发现公开可用的漏洞利用代码的证据,也未发现这两个严重安全漏洞(由德勤安全研究人员丹・马林和塞巴斯蒂安・拉杜莱亚报告)在攻击中被滥用的证据。
周三,该公司还警告称,其 IOS、IOS XE、IOS XR(CVE – 2025 – 20169、CVE – 2025 – 20170、CVE – 2025 – 20171)和 NX – OS(CVE – 2024 – 20397)软件存在严重漏洞,攻击者可利用这些漏洞触发拒绝服务(DoS)条件或绕过 NX – OS 镜像签名验证。
思科尚未针对启用 SNMP 功能的 IOS、IOS XE 和 IOS XR 软件中的 DoS 漏洞发布补丁。不过,该公司表示这些漏洞尚未在实际环境中被利用,并提供了缓解措施,要求管理员在易受攻击的设备上禁用易受攻击的对象标识符(OIDs)(尽管这可能会对网络功能或性能产生负面影响)。
该公司计划在 2 月和 3 月推出软件更新,以解决 SNMP DoS 安全漏洞。
9 月,思科修复了身份服务引擎的另一个漏洞(存在公开的漏洞利用代码),该漏洞可让威胁行为者在易受攻击的设备上将权限提升至 root。
两个月后,思科还修复了一个极其严重的漏洞,该漏洞使攻击者能够在易受攻击的超可靠无线回程(URWB)接入点上以 root 权限运行命令。