Vulnérabilité critique Cisco ISE et ISE-PIC
Score CVSS :
10
Date de publication :
25/6/2025
Date de dernière mise à jour :
1/7/2025
.png)
Produits concernés
- Cisco Identity Services Engine (ISE) 3.3 et 3.4
- ISE Passive Identity Connector (ISE-PIC)
Prérequis
- Accès réseau à l’interface de management
- Cisco Identity Services Engine (ISE) ou ISE Passive Identity Connector (ISE-PIC) en version vulnérable
Risques
- Exécution de code arbitraire
- Accès au réseau interne de l’entreprise
- Déploiement de malware sur l’actif
Résumé
Cisco a publié plusieurs avis de sécurité sur des vulnérabilités critiques affectant les solutions Cisco Identity Services Engine (ISE) et Cisco ISE Passive Identity Connector (ISE-PIC). Le niveau de criticité initialement de 9.8 a été revu à la hausse pour une criticité de 10.
L’exploitation de l’un de ces CVE pourrait permettre à l’attaquant à minima une compromission complète du Cisco ISE(exécution de commande, modification de la configuration Cisco ISE, escalade de privilège..), perte du contrôle réseau(désactivation des politiques de sécurités, mouvement latéral),modification des règles d’accès VPN, exfiltration de données sensibles et désactivation des protections de sécurité(journaux d’audit, ajout de règles de redirection malveillantes….)
A l’heure actuelle, aucune trace d’exploitation par des groups d’attaquants ou d’exploits publiques n’a été remonté.
Cependant, étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.
- CVE-2025-20281 : Une vulnérabilité dans une API spécifique de Cisco ISE et Cisco ISE-PIC pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur le système d'exploitation sous-jacent en tant que root. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité.
- CVE-2025-20282 : Une vulnérabilité dans une API interne de Cisco ISE et Cisco ISE-PIC pourrait permettre à un attaquant distant non authentifié de télécharger des fichiers arbitraires sur le serveur, puis d'exécuter ces fichiers sur le système d'exploitation sous-jacent en tant que root.
L’exploitation de l’un de ces CVE pourrait permettre à l’attaquant à minima une compromission complète du Cisco ISE(exécution de commande, modification de la configuration Cisco ISE, escalade de privilège..), perte du contrôle réseau(désactivation des politiques de sécurités, mouvement latéral),modification des règles d’accès VPN, exfiltration de données sensibles et désactivation des protections de sécurité(journaux d’audit, ajout de règles de redirection malveillantes….)
A l’heure actuelle, aucune trace d’exploitation par des groups d’attaquants ou d’exploits publiques n’a été remonté.
Cependant, étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.
Solutions
Détection de la compromission :
Afin de vérifier si un équipement est compromis, vous pouvez:
Auditez les logs API (fichiers web-debug.log, rest.log, application.log) pour détecter des requêtes inhabituelles, présence de shell ….
Recherchez des fichiers exécutables non autorisés dans les répertoires système (/, /root, /var, /opt)
Vérifiez les logs d’accès des API pour des requêtes de type POST /internal/.../upload ou des upload de fichiers via API.
Remédiation :
Mettre à jour selon la CVE et la version vulnérable:
Branche 3.3 : 3.3 Patch 6 ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz
Branche 3.4 : 3.4 Patch 2 ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz
Le détail est disponible dans les liens en références.
Afin de vérifier si un équipement est compromis, vous pouvez:
Auditez les logs API (fichiers web-debug.log, rest.log, application.log) pour détecter des requêtes inhabituelles, présence de shell ….
Recherchez des fichiers exécutables non autorisés dans les répertoires système (/, /root, /var, /opt)
Vérifiez les logs d’accès des API pour des requêtes de type POST /internal/.../upload ou des upload de fichiers via API.
Remédiation :
Mettre à jour selon la CVE et la version vulnérable:
Branche 3.3 : 3.3 Patch 6 ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz
Branche 3.4 : 3.4 Patch 2 ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz
Le détail est disponible dans les liens en références.
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
