思科确认存在针对 ISE 漏洞的主动攻击，可实现未经身份验证的根访问

思科周一更新了其关于身份服务引擎 (ISE) 和 ISE 被动身份连接器 (ISE-PIC) 中最近披露的一系列安全漏洞的公告，以承认存在主动利用漏洞的情况。

该公司在警报中表示： “2025 年 7 月，思科 PSIRT（产品安全事件响应团队）发现有人试图利用其中一些漏洞。”

该网络设备供应商并未透露哪些漏洞已在现实世界的攻击中被武器化、利用这些漏洞的威胁行为者的身份以及活动的规模。

思科 ISE 在网络访问控制中扮演着核心角色，负责管理哪些用户和设备可以在什么条件下访问公司网络。如果这一层被攻破，攻击者可能会不受限制地访问内部系统，绕过身份验证控制和日志记录机制，从而将策略引擎变成一扇敞开的大门。

警报中列出的漏洞均为严重级别漏洞（CVSS 评分：10.0），可能允许未经身份验证的远程攻击者以 root 用户身份在底层操作系统上发出命令 -

CVE-2025-20281 和CVE-2025-20337 - 特定 API 中的多个漏洞可能允许未经身份验证的远程攻击者以 root 身份在底层操作系统上执行任意代码
CVE-2025-20282 - 内部 API 中存在漏洞，可能允许未经身份验证的远程攻击者将任意文件上传到受影响的设备，然后以 root 身份在底层操作系统上执行这些文件
网络安全
前两个缺陷是由于对用户提供的输入验证不足造成的，而后一个缺陷则是由于缺乏文件验证检查，从而无法防止上传的文件被放置在受影响系统的特权目录中。

因此，攻击者可以通过提交精心设计的 API 请求（针对 CVE-2025-20281 和 CVE-2025-20337）或将精心设计的文件上传到受影响的设备（针对 CVE-2025-20282）来利用这些缺陷。

鉴于漏洞利用活跃，客户务必尽快升级到已修复的软件版本以修复这些漏洞。这些漏洞无需身份验证即可远程利用，使未修补的系统面临预先授权远程代码执行的高风险——这对于管理关键基础设施或合规性驱动环境的防御者而言，是首要关注的问题。

安全团队还应该检查系统日志中是否存在可疑的 API 活动或未经授权的文件上传，尤其是在外部暴露的部署中。