Cisco warnt vor kritischer Sicherheitslücke in Identity Services Engine – dringendes Patchen empfohlen

Cisco hat eine neue Sicherheitslücke in seiner Identity Services Engine (ISE) bekannt gegeben. Die Schwachstelle ermöglicht eine Remote-Codeausführung (RCE) mit Root-Rechten – und das ohne Authentifizierung.

Betroffen ist eine bestimmte Programmierschnittstelle (API) der ISE-Software, bei der es an einer ausreichenden Validierung von Eingaben fehlt. Angreifer könnten diese Lücke ausnutzen, um beliebigen Code auf den betroffenen Systemen auszuführen.

Das Unternehmen stuft die Sicherheitslücke als kritisch ein und ruft Administratoren eindringlich dazu auf, verfügbare Sicherheitsupdates umgehend einzuspielen.

Cisco warnt vor weiterer kritischer Sicherheitslücke in ISE und ISE-PIC

Cisco hat eine weitere Sicherheitswarnung mit der höchsten Schweregradstufe veröffentlicht. Demnach besteht eine Schwachstelle in der Identity Services Engine (ISE) sowie im ISE Passive Identity Connector (ISE-PIC), die eine nicht authentifizierte Remote-Codeausführung (RCE) ermöglicht.

Der Netzwerkausrüster weist darauf hin, dass die Lücke auf eine unzureichende Eingabevalidierung in einer öffentlich zugänglichen API zurückzuführen ist. Sie ähnelt einer bereits im vergangenen Monat behobenen kritischen Sicherheitslücke.

Mehrere Sicherheitslücken in Cisco Identity Services Engine (ISE) und Cisco ISE Passive Identity Connector (ISE-PIC) könnten es einem nicht authentifizierten, entfernten Angreifer ermöglichen, Befehle auf dem zugrunde liegenden Betriebssystem als Root-Benutzer auszuführen.

Weitere Informationen zu diesen Sicherheitslücken finden Sie im Abschnitt „Details“ dieses Hinweises.

Cisco hat Software-Updates veröffentlicht, die diese Sicherheitslücken beheben. Es gibt keine Workarounds, die diese Sicherheitslücken beheben.

Hinweis: Seit der Veröffentlichung von Version 1.0 dieses Sicherheitshinweises sind verbesserte, korrigierte Versionen verfügbar. Cisco empfiehlt, wie folgt auf eine verbesserte, korrigierte Version zu aktualisieren:

• Wenn Cisco ISE Release 3.4 Patch 2 ausführt, sind keine weiteren Maßnahmen erforderlich.
• Wenn Cisco ISE Release 3.3 Patch 6 ausführt, sind zusätzliche Korrekturen in Release 3.3 Patch 7 verfügbar, und das Gerät muss aktualisiert werden.
• Wenn Cisco ISE entweder den Hotfix ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz oder den Hotfix ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz installiert hat,

Betroffene Produkte

CVE-2025-20281 und CVE-2025-20337: Diese Sicherheitslücken betreffen Cisco ISE und ISE-PIC der Versionen 3.3 und 3.4, unabhängig von der Gerätekonfiguration. Diese Sicherheitslücken betreffen nicht Cisco ISE und ISE-PIC der Version 3.2 oder früher.

CVE-2025-20282: Diese Sicherheitslücke betrifft nur Cisco ISE und ISE-PIC Release 3.4, unabhängig von der Gerätekonfiguration. Diese Sicherheitslücke betrifft nicht Cisco ISE und ISE-PIC Release 3.3 oder früher.

Details

Die Sicherheitslücken sind nicht voneinander abhängig. Die Ausnutzung einer der Sicherheitslücken ist nicht erforderlich, um eine andere Sicherheitslücke auszunutzen. Darüber hinaus ist eine Softwareversion, die von einer der Sicherheitslücken betroffen ist, möglicherweise nicht von den anderen Sicherheitslücken betroffen.

Details zu den Sicherheitslücken lauten wie folgt:

CVE-2025-20281 und CVE-2025-20337: Cisco ISE API – Schwachstellen bei der Ausführung von nicht authentifiziertem Remote-Code

Mehrere Schwachstellen in einer bestimmten API von Cisco ISE und Cisco ISE-PIC könnten es einem nicht authentifizierten Angreifer ermöglichen, beliebigen Code auf dem zugrunde liegenden Betriebssystem als Root auszuführen. Der Angreifer benötigt keine gültigen Anmeldedaten, um diese Schwachstellen auszunutzen.

Diese Schwachstellen sind auf eine unzureichende Validierung von Benutzereingaben zurückzuführen. Ein Angreifer könnte diese Schwachstellen ausnutzen, indem er eine speziell gestaltete API-Anfrage sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, Root-Rechte auf einem betroffenen Gerät zu erlangen.

Cisco hat Software-Updates veröffentlicht, die diese Schwachstellen beheben. Es gibt keine Workarounds, die diese Schwachstellen beheben.

Fehler-IDs: CSCwo99449 und CSCwp02814

CVE-ID: CVE-2025-20281, CVE-2025-20337

Sicherheitsbewertung (SIR): Kritisch

CVSS-Basiswert: 10,0

CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVE-2025-20282: Cisco ISE API – Sicherheitslücke durch nicht authentifizierte Remote-Codeausführung

Eine Schwachstelle in einer internen API von Cisco ISE und Cisco ISE-PIC könnte es einem nicht authentifizierten Angreifer ermöglichen, beliebige Dateien auf ein betroffenes Gerät hochzuladen und diese Dateien dann auf dem zugrunde liegenden Betriebssystem als Root auszuführen.

Diese Schwachstelle ist auf fehlende Dateiüberprüfungen zurückzuführen, die verhindern würden, dass hochgeladene Dateien in privilegierten Verzeichnissen auf einem betroffenen System abgelegt werden. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete Datei auf das betroffene Gerät hochlädt. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, schädliche Dateien auf dem betroffenen System zu speichern und anschließend beliebigen Code auszuführen oder Root-Rechte auf dem System zu erlangen.

Cisco hat Software-Updates veröffentlicht, die diese Sicherheitslücke beheben. Es gibt keine Workarounds, die diese Sicherheitslücke beheben.

Fehler-ID(s): CSCwp02821

CVE-ID: CVE-2025-20282

Sicherheitsbewertung (SIR): Kritisch

CVSS-Basiswert: 10,0

CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Workarounds

Es gibt keine Workarounds, die diese Sicherheitslücken beheben.

Quelle: Cisco

---