ISGroup Cybersicherheitsberatung

CVE-2025-20337 – Remote Code Execution (RCE) – Cisco Identity Services Engine (ISE)

Cisco Identity Services Engine (ISE) ist eine Plattform für Zugriffskontrolle und Identitätsmanagement, die es Unternehmen ermöglicht, Sicherheits- und Compliance-Richtlinien über die gesamte Netzwerkinfrastruktur hinweg durchzusetzen.
CVE‑2025‑20337 ermöglicht es nicht authentifizierten Angreifern, durch speziell präparierte API-Anfragen beliebige Befehle mit Root-Rechten auszuführen.
Die Schwachstelle resultiert aus einer unzureichenden Eingabevalidierung in einem anfälligen API-Endpunkt.
Die Schwachstelle betrifft Cisco ISE/ISE‑PIC-Versionen vor 3.3 Patch 7 und 3.4 Patch 2.

CVE‑2025‑20337 ist im KEV-Katalog (Known Exploited Vulnerabilities) der CISA gelistet.

ProduktCisco ISE
Datum19.07.2025 13:24:46
Informationen
  • Fix verfügbar

Technische Zusammenfassung

Diese Schwachstelle resultiert aus einer unsachgemäßen Handhabung von Eingaben in einer der Web-APIs von Cisco ISE. Insbesondere liegt der Fehler in der Art und Weise, wie vom Benutzer bereitgestellte Daten vor der Ausführung innerhalb von Systembefehlen bereinigt werden.
Ein Angreifer kann eine böswillige HTTP-API-Anfrage erstellen, um eine nicht authentifizierte Befehlsinjektion zu erreichen, was zu einer Remote-Code-Ausführung mit Root-Zugriff führt.

Es ist keine Authentifizierung erforderlich und der Angreifer benötigt keine erweiterten Privilegien, was dies zu einem kritischen Problem macht.
Cisco ISE wird häufig in sensiblen Unternehmensumgebungen eingesetzt, was das Risiko für umfassende laterale Bewegungen nach der Ausnutzung erhöht.

Empfehlungen

  1. Sofort aktualisieren: Aktualisieren Sie Cisco ISE/ISE‑PIC auf Version 3.3 Patch 7 oder 3.4 Patch 2. Frühere Patches (z. B. CVE‑2025‑20281/20282) beheben diese Schwachstelle nicht.

  2. API-Zugriff einschränken: Stellen Sie sicher, dass die betroffenen API-Endpunkte nicht öffentlich zugänglich sind. Beschränken Sie den Verwaltungszugriff auf vertrauenswürdige interne Netzwerke.

  3. Überprüfen und überwachen: Überwachen Sie die API-Anfrageprotokolle auf ungewöhnliche Zugriffsmuster oder verdächtige Parameter. Achten Sie auf Ausführungsanomalien und Spitzen bei privilegierten Zugriffen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *