Η Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) εξέδωσε επείγουσα προειδοποίηση. Αφορά δύο κρίσιμες ευπάθειες injection, τις CVE-2025-20281 και CVE-2025-20337, εντός του Cisco Identity Services Engine (ISE).
Αυτές οι αδυναμίες εκμεταλλεύονται ενεργά από παράγοντες απειλών. Επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα με δικαιώματα root σε παραβιασμένα συστήματα. Η CISA έχει προσθέσει και τις δύο ευπάθειες στον κατάλογο Γνωστών Εκμεταλλεύσιμων Ευπαθειών (KEV). Αυτός ο χαρακτηρισμός επιβάλλει στις οργανώσεις που χρησιμοποιούν προϊόντα Cisco ISE και ISE-PIC να εφαρμόσουν τις απαραίτητες μετριάσεις έως τις 18 Αυγούστου 2025. Και οι δύο CVEs ταξινομούνται ως ευπάθειες injection. Επηρεάζουν συγκεκριμένα ορισμένα Application Programming Interfaces (APIs) εντός των συστημάτων Cisco ISE και Cisco ISE-PIC. Η βασική τους αιτία είναι η ανεπαρκής επικύρωση της εισόδου που παρέχεται από τον χρήστη.
Πρόκειται για μια θεμελιώδη αδυναμία ασφαλείας, καταχωρισμένη ως Common Weakness Enumeration CWE-74. Αντιμετωπίζει την ακατάλληλη εξουδετέρωση ειδικών στοιχείων στην έξοδο που επεξεργάζονται τα κατάντη στοιχεία.
Κακόβουλοι παράγοντες μπορούν να εκμεταλλευτούν αυτές τις αδυναμίες υποβάλλοντας προσεκτικά κατασκευασμένα αιτήματα API. Αυτό παρακάμπτει τους τυπικούς ελέγχους ασφαλείας. Τέτοιες επιθέσεις injection αποτελούν σημαντική απειλή για την υποδομή ασφάλειας δικτύου.
Το Cisco ISE λειτουργεί ως κεντρική μηχανή πολιτικής που διέπει την πρόσβαση στο δίκτυο παγκοσμίως. Αυτά τα συστήματα αναπτύσσονται ευρέως σε εταιρικά περιβάλλοντα για τη διαχείριση υπηρεσιών ελέγχου ταυτότητας, εξουσιοδότησης και λογιστικής (AAA) χρηστών.
Η επιτυχής εκμετάλλευση παρέχει στους επιτιθέμενους δυνατότητες απομακρυσμένης εκτέλεσης κώδικα (RCE) σε επηρεαζόμενες συσκευές. Αυτό μπορεί να οδηγήσει σε πλήρη διοικητικό έλεγχο μέσω κλιμάκωσης προνομίων root. Οι παράγοντες απειλών μπορούν να χειριστούν τις πολιτικές δικτύου και να εξάγουν ευαίσθητα δεδομένα.
Μπορούν επίσης να εγκαταστήσουν επίμονες backdoors σε παραβιασμένα περιβάλλοντα. Η κρίσιμη φύση αυτών των ευπαθειών πηγάζει από τη δυνατότητά τους να παρέχουν μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση σε βασικά στοιχεία υποδομής δικτύου χωρίς κωδικό πρόσβασης.
Οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν αυτές τις αδυναμίες για να παρακάμψουν τους ελέγχους τμηματοποίησης δικτύου. Μπορούν να αποκτήσουν πρόσβαση σε περιορισμένα τμήματα, να αναπτύξουν ransomware ή να δημιουργήσουν κανάλια εντολών και ελέγχου εντός παραβιασμένων δικτύων.
Και οι δύο CVE-2025-20281 και CVE-2025-20337 περιγράφονται συλλογικά ως ευπάθειες Injection του Cisco Identity Services Engine. Τους έχει αποδοθεί κρίσιμη βαθμολογία CVSS 3.1 ίση με 10.0.