Cisco aggiorna l’avviso su vulnerabilità critiche in Identity Services Engine
Il lunedì, Cisco ha aggiornato il suo avviso riguardante una serie di vulnerabilità di sicurezza recentemente scoperte in Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC), riconoscendo lo sfruttamento attivo di queste falle. “Nel luglio 2025, il Cisco PSIRT [Product Security Incident Response Team] è venuto a conoscenza di tentativi di sfruttamento di alcune di queste vulnerabilità in natura”, ha dichiarato l’azienda in un avviso.
Cisco ISE svolge un ruolo centrale nel controllo degli accessi alla rete, gestendo quali utenti e dispositivi possono accedere alle reti aziendali e a quali condizioni. Un compromesso a questo livello potrebbe consentire agli attaccanti di ottenere accesso illimitato ai sistemi interni, bypassando i controlli di autenticazione e i meccanismi di registrazione, trasformando un motore di policy in una porta aperta.
Le vulnerabilità descritte nell’avviso sono tutte classificate come critiche (punteggi CVSS: 10.0) e potrebbero permettere a un attaccante remoto non autenticato di eseguire comandi sul sistema operativo sottostante come utente root. Le vulnerabilità CVE-2025-20281 e CVE-2025-20337 riguardano un’API specifica che potrebbe consentire a un attaccante remoto non autenticato di eseguire codice arbitrario sul sistema operativo sottostante come root. La vulnerabilità CVE-2025-20282, invece, riguarda un’API interna che potrebbe permettere a un attaccante remoto non autenticato di caricare file arbitrari su un dispositivo compromesso e quindi eseguire quei file sul sistema operativo sottostante come root.
Le prime due falle derivano da una convalida insufficiente dell’input fornito dall’utente, mentre l’ultima è causata dalla mancanza di controlli di convalida dei file che impedirebbero ai file caricati di essere posizionati in directory privilegiate su un sistema compromesso. Di conseguenza, un attaccante potrebbe sfruttare queste carenze inviando una richiesta API appositamente creata (per CVE-2025-20281 e CVE-2025-20337) o caricando un file appositamente creato sul dispositivo compromesso (per CVE-2025-20282).
Alla luce dello sfruttamento attivo, è essenziale che i clienti aggiornino il software a una versione corretta il prima possibile per risolvere queste vulnerabilità. Queste falle sono sfruttabili da remoto senza autenticazione, mettendo i sistemi non aggiornati ad alto rischio di esecuzione di codice remoto pre-autenticazione, una preoccupazione di primo livello per i difensori che gestiscono infrastrutture critiche o ambienti guidati dalla conformità.
I team di sicurezza dovrebbero anche esaminare i log di sistema per attività API sospette o caricamenti di file non autorizzati, specialmente in implementazioni esposte esternamente.
Fonte: The Hackers News
