ハッカーは、パッチが公開されてから1か月も経たないうちに、Cisco Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)の重大な脆弱性を標的にしています。
6月25日、CiscoはISEおよびISE-PICの2つの脆弱性が、リモートの認証されていない攻撃者による、基盤となるオペレーティングシステム上でのroot権限による任意のコード実行を可能にする可能性があると警告しました。
先週、Ciscoはアドバイザリを更新し、当初発見されたCVE-2025-20281およびCVE-2025-20282(CVSSスコア10/10)に加え、同様に深刻なCVE-2025-20337という3つ目のバグが脆弱な製品で確認されたと警告しました。
CVE-2025-20281およびCVE-2025-20337は特定のAPIに影響し、ユーザーから提供された入力が十分に検証されていないことが原因で存在します。CVE-2025-20282は別のAPIに影響し、検証チェックが不十分なため、アップロードされたファイルが特権ディレクトリに配置される可能性があります。
攻撃者は、細工されたAPIリクエストの送信や細工されたファイルのアップロードを行うことで、root権限で任意のコマンドやコードを実行できる可能性があります。
火曜日、Ciscoはアドバイザリを再度更新し、脅威アクターがこれらの脆弱性を実際に標的にし始めていると警告しました。
「2025年7月、Cisco PSIRTはこれらの脆弱性の一部が実際に悪用されようとしていることを認識しました。Ciscoは引き続き、顧客がこれらの脆弱性を修正するために修正版ソフトウェアへのアップグレードを強く推奨します」と同社は述べています。
この3つの脆弱性は、Cisco ISEおよびISE-PICバージョン3.3および3.4に影響し、ISEおよびISE-PICバージョン3.3 Patch 7および3.4 Patch 2で修正されています。アプライアンスのバージョン3.2以前は影響を受けません。
広告。スクロールして続きを読む。
Ciscoは、以前ISEバージョン3.3 Patch 6および以前にリリースされたホットパッチをインストールした顧客に対し、CVE-2025-20337の修正も含む完全なパッチ適用済みリリースへのアップデートを推奨しています。
これら3つのセキュリティ欠陥はすべて、Trend Micro Zero Day Initiativeを通じて報告されたとCiscoは述べています。同社は、観測された悪用の試みに関する詳細は共有していません。
関連記事: Cisco、エンタープライズソフトウェアのハードコードされた認証情報について警告
関連記事: CiscoおよびAtlassianによる高深刻度の脆弱性修正
翻訳元: https://www.securityweek.com/hackers-start-exploiting-critical-cisco-ise-vulnerabilities/