Cisco Identity Services Engine (ISE) è una piattaforma di controllo accessi e gestione delle identità che consente alle organizzazioni di applicare le policy di sicurezza e conformità su tutta l’infrastruttura di rete.
CVE‑2025‑20337 consente ad attaccanti non autenticati di eseguire comandi arbitrari con privilegi root tramite richieste API appositamente realizzate.
La vulnerabilità deriva da una validazione insufficiente dell’input in un endpoint API vulnerabile.
La vulnerabilità interessa le versioni Cisco ISE/ISE‑PIC precedenti alla 3.3 Patch 7 e 3.4 Patch 2.
CVE‑2025‑20337 è elencata nel catalogo KEV delle vulnerabilità sfruttate conosciute di CISA.
| Cisco ISE |
| 2025-07-19 13:24:46 |
| Fix Available |
Riassunto tecnico
Questa vulnerabilità deriva da una gestione impropria dell’input in una delle API web di Cisco ISE. In particolare, il difetto risiede nel modo in cui i dati forniti dall’utente vengono sanificati prima dell’esecuzione all’interno dei comandi di sistema.
Un attaccante può creare una richiesta HTTP API malevola per ottenere una command injection non autenticata, con conseguente esecuzione di codice da remoto con accesso di livello root.
Non è richiesta alcuna autenticazione e l’attaccante non necessita di privilegi elevati, rendendo questo un problema critico.
Cisco ISE è spesso implementato in ambienti aziendali sensibili, il che aumenta il rischio di movimenti laterali estesi dopo l’exploit.
Raccomandazioni
-
Aggiornare immediatamente: Aggiornare Cisco ISE/ISE‑PIC alla versione 3.3 Patch 7 o 3.4 Patch 2. Le patch precedenti (es. CVE‑2025‑20281/20282) non mitigano questa vulnerabilità.
-
Limitare l’accesso alle API: Assicurarsi che gli endpoint API interessati non siano esposti pubblicamente. Limitare l’accesso di gestione a reti interne affidabili.
-
Verificare e monitorare: Monitorare i log delle richieste API per individuare modelli d’accesso insoliti o parametri sospetti. Prestare attenzione ad anomalie di esecuzione e picchi di accesso privilegiato.