کمیته رکن چهارم – شرکت سیسکو آسیبپذیری امنیتی مهمی در پلتفرم Cisco ISE شناسایی و وصله کرد که به مهاجمان اجازه میداد بدون احراز هویت، کنترل کامل سیستم را در دست بگیرند.
به گزارش کمیته رکن چهارم، شرکت Cisco اصلاحیهای برای آسیبپذیری بحرانی با شناسه CVE-2025-20337 منتشر کرده است که در پلتفرم Identity Services Engine (ISE) و همچنین ISE Passive Identity Connector (ISE-PIC) شناسایی شده است. این نقص امنیتی به دلیل اعتبارسنجی ناکافی ورودیهای API به مهاجم راه دور اجازه میدهد تا با ارسال درخواست جعلی، کد دلخواه خود را با دسترسی روت اجرا کند.
پلتفرم ISE برای مدیریت سیاستهای امنیتی و کنترل دسترسی در شبکههای سازمانی طراحی شده و نقش کلیدی در مدیریت هویت و دسترسی ایفا میکند.
این آسیبپذیری جدید در ادامه دو نقص امنیتی دیگر در ماههای گذشته کشف شده و شدت آن به حدی بالاست که امتیاز کامل ۱۰ از ۱۰ در شاخص CVSS به آن اختصاص یافته است.
سیسکو اعلام کرده است که هیچ راهحل موقتی برای این نقص وجود ندارد و تنها راه امنسازی، ارتقاء فوری به نسخههای امن است. برای نمونه، کاربران ISE نسخه ۳.۴ باید حداقل Patch 2 و کاربران نسخه ۳.۳ باید Patch 7 را نصب کرده باشند.
این آسیبپذیریها توسط بابی گولد از شرکت Trend Micro ZDI و کنتارو کاوانه از شرکت GMO Cybersecurity گزارش شدهاند. همچنین، سیسکو هشدار داده است که با وجود نبود سوءاستفادههای گزارششده، احتمال انتشار کدهای مخرب و سوءاستفاده عملیاتی در آینده نزدیک وجود دارد.
در هفتههای اخیر، سیسکو با باگهای امنیتی دیگری نیز مواجه شده که همگی نیازمند توجه فوری مدیران سامانهها و بهروزرسانی کامل محصولات هستند. متخصصان امنیتی توصیه کردهاند که سازمانها برای کاهش ریسک احتمالی، وصلههای امنیتی جدید را بدون تأخیر اعمال کنند.
