هشدار سیسکو درباره نقص بحرانی جدید RCE در Cisco ISE؛ توصیه به به‌روزرسانی فوری!

دیگر باید بپذیریم که تکنولوژی صرفاً در اختیار منافع بشر نیست! همان‌طور که پیشرفت تکنولوژی می‌تواند به ما کمک کند، پیشرفت نیمه تاریک آن نیز می‌تواند آسیب‌های جبران‌ناپذیری را به بار آورد. این آسیب‌ها نه‌تنها کسب‌وکارهای معمولی، بلکه شرکت‌های بزرگ و غول‌های دنیای تکنولوژی را نیز تهدید می‌کند! به گزارش فالنیک، اخیراً یک نقص امنیتی جدید در یکی از محصولات سیسکو گزارش شده که اگر نادیده گرفته شود، عواقب بدی را به دنبال خواهد داشت!

نقص بحرانی جدید RCE در Cisco ISE

چندی پیش در رویداد سیسکو لایو 2025، مدیران رده‌بالای سیسکو تأکید زیادی بر افزایش امنیت محصولات خود داشتند و در مورد خطرات بالقوه‌ای که امنیت سایبری را تهدید می‌کنند، هشدار دادند. اکنون سیسکو یک هشدار با حداکثر شدت (بسیار خطرناک) در مورد نقص بحرانی جدید RCE در Cisco ISE منتشر کرده است. این هشدار به نقص در اجرای کد از راه دور (RCE) بدون نیاز به احراز هویت در محصولات Identity Services Engine (ISE) و ISE Passive Identity Connector (ISE-PIC) اشاره دارد. این نقص به‌دلیل اعتبارسنجی ناکافی ورودی‌ها در یک API عمومی ایجاد شده است و مشابه با یک اشکال بحرانی دیگر است که در ماه گذشته رخ داد و برطرف شد.

آقای Randolph Barr، مدیر ارشد امنیت اطلاعات شرکت Cequence Security، اظهار داشته است:

«افشای این نقص توسط سیسکو نشان‌دهنده یک الگوی نگران‌کننده در زیرساخت‌های در معرض API است: اعتبارسنجی ناکافی ورودی‌ها که منجر به اجرای کد از راه دور بدون نیاز به احراز هویت می‌شود. این نقص با امتیاز CVSS برابر با 10، بدترین سناریوی ممکن است؛ چرا که به مهاجمان اجازه می‌دهد تا بدون نیاز به اعتبار یا تعامل کاربر، به‌صورت ریموت به دسترسی ریشه (root) دست پیدا کنند».

سیسکو به تمام مدیران کسب‌وکارها توصیه کرده که این نقص را از آسیب‌پذیری CVE-2025-20281 (یک آسیب‌پذیری با شدت بالا در همان محصولات مدیریت هویت و دسترسی) در نظر بگیرند و پچ هدفمندی را که به‌تازگی منتشر شده، به‌سرعت اعمال کنند.

جزئیات آسیب‌پذیری سطح ریشه API RCE

این آسیب‌پذیری جدید با شناسه CVE-2025-20337 معرفی شده و محصولات Cisco ISE و Cisco ISE-PIC در نسخه‌های 3.3 و 3.4 را تحت تأثیر قرار می‌دهد (نسخه‌های 3.2 به قبل این محصولات در معرض این تهدید نیستند). نقص بحرانی RCE به مهاجم اجازه می‌دهد تا بدون نیاز به اعتبارسنجی، دستورات یا فایل‌های مخرب را با دسترسی ریشه اجرا کند. طبق اعلام سیسکو، این مشکل به‌دلیل پاکسازی ناقص درخواست‌ها در یک API خاص (که در نقص CVE-2025-20281 نیز دخیل بود)، ایجاد شده است.

آقای رندولف بار معتقد است که این نقص با ظهور هوش مصنوعی مولد (Generative AI) نگران‌کننده‌تر است. او اظهار داشت: «در سال 2025، بهره‌برداری از چنین نقص‌هایی با استفاده از هوش مصنوعی مولد ساده‌تر است و این موضوع نگرانی‌های زیادی را برانگیخته است. چرا که حتی مهاجمانی با دانش فنی کم نیز می‌توانند از هوش مصنوعی برای شناسایی سیستم‌های ISE در معرض خطر، ساخت درخواست‌های مخرب API و اجرای حملات هدفمند استفاده کنند. این موضوع، زمان بهره‌برداری از این آسیب‌پذیری را بسیار کوتاه می‌کند».

اکنون این اشکال در نسخه‌های Cisco ISE Release 3.4 Patch 2 و Release 3.3 Patch 7 برطرف شده است. سیسکو اعلام کرده که هیچ راه‌حل موقتی وجود ندارد و تنها راه رفع این مشکل، به‌روزرسانی به نسخه‌های اصلاح‌شده است. همچنین پچ‌های موقت قبلی که برای آسیب‌پذیری CVE-2025-20281 منتشر شده بودند، این نقص جدید را پوشش نمی‌دهند و مشتریان «باید» محصولات خود را به نسخه‌های پچ‌شده اختصاصی ارتقا دهند.

نیاز به پچ و به‌روزرسانی، هر چه سریع‌تر!

آقای رندولف بار نگران سوء استفاده‌های N-day از نقص بحرانی جدید RCE در Cisco ISE است. او گفت: «هرچند شفافیت سیسکو در افشای نقص و سرعت در انتشار پچ‌ها مثبت است، اما واقعیت این است که اعمال پچ برای چنین آسیب‌پذیری‌هایی، به‌ویژه در محیط‌های سازمانی بزرگ و توزیع‌شده، زمان‌بر است. موضوعاتی مانند نیاز به راه‌اندازی مجدد و وابستگی به سیستم‌های با دسترسی بالا، اغلب رفع کامل مشکل را به تأخیر می‌اندازند». او افزود که سرعت و سادگی توسعه بهره‌برداری‌های مدرن، به‌خصوص از طریق هوش مصنوعی، باید مایه نگرانی همه فعالان در حوزه امنیت سایبری باشد!

آقای Jason Soroko، پژوهشگر ارشد در Sectigo، نگران طبعات خطرناک یک بهره‌برداری احتمالی از این نقص است. او توضیح داد: «سیسکو ISE مورد اعتماد بسیاری از شبکه‌های دانشگاهی است و نفوذ به آن می‌تواند طبعات زیادی داشته باشد؛ از جمله این طبعات باید به بازنویسی سیاست‌های دسترسی، جابجا کردن نقاط انتهایی بین VLANها و باز کردن راه نفوذ به تمام بخش‌های شبکه اشاره کرد. متأسفانه API آسیب‌پذیر اغلب از محدوده‌های آدرس داخلی گسترده و حتی گاهی از طریق وای‌فای مهمان قابل دسترسی است!».

سوروکو افزوده است که احتمال بهره‌برداری فعال از این نقص بسیار بالاست؛ چرا که آسیب‌پذیری قبلی (CVE-2025-20281)، فقط ظرف چند روز منجر به بهره‌برداری‌های عمومی PoC شد.

برای حفاظت بیشتر، رندولف بار استفاده از راه‌حل‌های امنیتی تخصصی API را پیشنهاد می‌کند که می‌توانند فعالیت‌های غیرعادی API را در لحظه شناسایی و مسدود کنند و جلوی اسکن خودکار و ارسال بسته‌های مخرب را بگیرند. به‌هرحال، نصب پچ ارائه‌شده از جانب سیسکو برای رفع نقص بحرانی جدید RCE در Cisco ISE ضروری است و باید هرچه سریع‌تر انجام شود.

خلاصه این مقاله

سیسکو هشدار داده است درباره یک نقص امنیتی جدید در محصولات Identity Services Engine (ISE) و ISE Passive Identity Connector (ISE-PIC) که امکان اجرای کد از راه دور (RCE) بدون نیاز به احراز هویت را فراهم می‌کند. این نقص به دلیل اعتبارسنجی ناکافی ورودی‌ها در یک API عمومی ایجاد شده و می‌تواند به مهاجم این امکان را بدهد که بدون نیاز به اعتبارسنجی، دستورات یا فایل‌های مخرب را با دسترسی ریشه اجرا کند. سیسکو این مشکل را در نسخه‌های Cisco ISE Release 3.4 Patch 2 و Release 3.3 Patch 7 برطرف کرده است و توصیه می‌کند که کاربران به‌سرعت نسخه‌های اصلاح‌شده را نصب کنند. برای امنیت بیشتر، استفاده از راه‌حل‌های امنیتی ت