思科 ISE 高危 RCE 漏洞已遭积极利用，用户需尽快更新

思科（Cisco）警告称，其身份服务引擎（Identity Services Engine, ISE）中近期修复的三个严重远程代码执行（RCE）漏洞现遭积极利用。

尽管该供应商未具体说明漏洞如何被利用以及攻击是否成功，但尽快应用安全更新变得至关重要。

“2025年7月，思科产品安全事件响应团队（PSIRT）获悉这些漏洞中的一部分在野外遭到尝试性利用，”更新后的公告中写道。
“思科继续强烈建议客户升级至已修复的软件版本以修补这些漏洞。”

思科身份服务引擎（ISE）是一个使大型组织能够控制网络访问并执行安全策略的平台。

这些最高严重性的漏洞最初由供应商于2025年6月25日（CVE-2025-20281 和 CVE-2025-20282）和2025年7月16日（CVE-2025-20337）披露。

以下是这些漏洞的简要描述：

• CVE-2025-20281：思科身份服务引擎（ISE）及ISE被动身份连接器（ISE-PIC）中存在严重的未认证远程代码执行漏洞。攻击者可发送特制的API请求，无需认证即可在底层操作系统上以root权限执行任意命令。已在ISE 3.3 Patch 7 和 3.4 Patch 2 中修复。
• CVE-2025-20282：思科ISE及ISE-PIC 3.4版本中存在严重的未认证任意文件上传与执行漏洞。文件验证缺失允许攻击者将恶意文件上传至特权目录并以root权限执行。已在ISE 3.4 Patch 2 中修复。
• CVE-2025-20337：影响思科ISE及ISE-PIC的严重未认证远程代码执行漏洞。攻击者可利用输入验证不足的缺陷，通过特制API请求获取root权限，无需凭证。已在ISE 3.3 Patch 7 和 3.4 Patch 2 中修复。

这三个漏洞均被评为最高严重性（CVSS评分：10.0），且无需认证即可远程利用，这使其成为黑客寻求侵入企业网络的宝贵目标。

思科此前曾因漏洞发现时间不同，为这三个漏洞分别发布了两次单独的热修复补丁。为一次性缓解所有漏洞，建议管理员采取以下措施：

• ISE 3.3 用户必须升级至 Patch 7
• ISE 3.4 用户必须升级至 Patch 2

使用 ISE 3.2 或更早版本的用户不受影响，无需采取任何措施。

这三个漏洞没有可行的缓解措施（Workaround），因此应用更新是唯一推荐的解决途径。

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；