【 資安警訊 】- 思科修補網路存取控制系統 ISE 重大漏洞
發布編號:OIS-CTI-2025-02-001
情資來源:iThome、TWCERT/CC
事件類型:漏洞警訊公告
內容說明:
思科修補網路存取控制(NAC)解決方案 Identity Services Engine(ISE)重大層級漏洞CVE-2025-20124、CVE-2025-20125,並指出這些漏洞非常嚴重,若不處理攻擊者有機會遠端執行任意命令,或是提升權限。
圖片來源:IThome
2 月 5 日思科發布資安公告,指出旗下網路存取控制(NAC)解決方案 Identity Services Engine(ISE)存在重大層級漏洞 CVE-2025-20124、CVE-2025-20125,通過身分驗證的攻擊者能遠端執行任意命令,或是提升權限,該公司已發布軟體更新修補,並強調這些漏洞無法透過其他緩解措施因應,用戶應儘速套用更新處理。
雖然利用這些漏洞必須搭配必要條件,那就是攻擊者事先要取得有效、具讀取權限的管理者帳密,但思科也指出,攻擊者若是能挾持其中一個管理員帳號,就能利用這些漏洞。
根據 CVSS 風險評分高低判斷,問題最嚴重的是 CVE-2025-20124,此為不安全的 Java 反序列化弱點,存在 ISE 的 1 個 API 當中,一旦攻擊者成功觸發,就有機會遠端以 root 使用者的身分執行任意命令,CVSS 風險評為 9.9(滿分 10 分)。
這項漏洞發生的原因,在於 ISE 對使用者提供的 Java 位元串流(Byte Stream)進行不安全的反序列化處理,攻擊者可在通過身分驗證的情況下,傳送特製的序列化 Java 物件到存在弱點的 API觸發漏洞。
另一個重大層級的漏洞 CVE-2025-20125,則是涉及授權繞過,同樣存在特定的 API,遠端攻擊者在通過身分驗證並具備讀取權限帳密的情況下,有機會存取敏感資訊、竄改節點組態,甚至是將節點重新啟動,風險評分為 9.1。
為何會有這個漏洞?思科指出問題出在特定 API 的使用未經過授權,以及對於使用者提供的資料未進行適當的驗證,攻擊者可對此 API 發送特製的 HTTP 請求觸發漏洞。。
影響平台:
Cisco Identity Services Engine(ISE)
ISE 3.0 版本
ISE 3.1 版本
ISE 3.2 版本
ISE 3.3 版本
建議措施:
更新 Cisco ISE 3.1 P10 (含)之後版本
更新 Cisco ISE 3.2 P7 (含)之後版本
更新 Cisco ISE 3.3 P4 (含)之後版本
另外 Cisco ISE 3.0 請遷移至固定版本
參考連結 :
https://www.ithome.com.tw/news/167250
https://www.twcert.org.tw/tw/cp-169-8411-d81b4-1.html