La faille nouvellement divulguée affecte une API spécifique qui souffre d’une validation d’entrée insuffisante pour permettre un RCE non authentifié à la racine.
Cisco a abandonné un autre avis de gravité maximale détaillant un défaut d’exécution de code distant non authentifié (RCE) dans son moteur de services d’identité (ISE) et le connecteur d’identité passif ISE (ISE-PIC).
Le géant de l’équipement de réseautage a averti que le défaut, bien similaire à un bug critique qu’il a corrigé le mois dernier, découle d’une validation d’insuffisance des entrées dans une API publique.
( En rapport: Plus de nouvelles et idées de Cisco )
« La divulgation de Cisco sur le défaut met en évidence un modèle troublant dans l’infrastructure exposée à l’API – une validation insuffisante des entrées conduisant à l’exécution du code distant non authentifié », a déclaré Randolph Barr, directeur de la sécurité de l’information chez CEQUENCE Security. « Avec un score CVSS de 10, il s’agit d’un pire scénario: les attaquants peuvent acquérir à distance un accès root sans informations d’identification ni interactions utilisateur. »
Cisco a exhorté les administrateurs à considérer la faille comme distincte du CVE-2025-20281, un autre bogue maximal de sévérité impactant les mêmes produits de gestion de l’identité et d’accès (IAM), et applique un correctif ciblé qu’il a maintenant publié.
API de niveau racine via des demandes fabriquées
La faille, suivie sous forme de CVE-2025-20337, affecte les versions 3,3 et 3.4 ISE et ISE-PIC (mais pas 3.2 ou plus tôt) et permet à un attaquant d’exécuter des commandes ou des fichiers malveillants comme racine, aucune information d’identification nécessaire.
Selon le Cisco Advisory, une désinfection de demande incomplète sur une API spécifique, également celle affectée par CVE-2025-20281, de Cisco ISE et Cisco ISE PIC pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur le système d’exploitation sous-jacent comme racine.
Barr pense que le défaut est d’autant plus préoccupant avec la montée de l’IA générative.
« Ce qui est particulièrement préoccupant en 2025, c’est le rôle de l’IA génératif dans la démocratisation de l’exploitation », a-t-il déclaré. « Les attaquants ayant peu d’expérience technique peuvent désormais utiliser l’IA pour identifier les systèmes exposés de Cisco ISE, artisanner les demandes d’API malveillantes et lancer des attaques ciblées, accélérant considérablement la fenêtre de menace. »
Le bogue est corrigé dans Cisco ISE Release 3.4 Patch 2 et Release 3.3 Patch 7. Cisco a déclaré qu’il n’y avait pas de solution de contournement, et la mise à jour d’une version fixe est la seule remédiation.
The company also warned that hot patches, “ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz” and “ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz,” installed in response to CVE-2025-20281, did not address CVE-2025-20337, and customers will doivent mettre à jour les versions correctes dédiées.
Un correctif plus rapide est nécessaire
Barr est préoccupé par la faille de trouver des abus du n-day. « S’il est positif que Cisco est transparent dans la divulgation et rapidement dans la libération de correctifs, la réalité est que le correctif de ces types de vulnérabilités – en particulier dans de grands environnements d’entreprise distribués – n’est pas instantané », a-t-il déclaré. «Le redémarrage des exigences et des dépendances sur les configurations à haute disponibilité retarde souvent la réparation complète.»
Il a ajouté que la vitesse et la simplicité du développement de l’exploit moderne, en particulier par l’intermédiaire de l’IA, devraient être une préoccupation.
Jason Soroko, chercheur principal à Sectigo, s’inquiète davantage du rayon de souffle d’un exploit potentiel. « ISE est assis au bord même de la confiance pour de nombreux réseaux de campus, et une violation peut réécrire des politiques d’accès, déplacer des points de terminaison entre les VLAN et ouvrir des pivots dans chaque segment », a-t-il déclaré. «L’API vulnérable est souvent accessible à partir de gammes d’adresses internes larges, parfois même un wi-fi invité, et les correctifs ISE nécessitent des fenêtres de maintenance perturbatrices.»
Le ciblage actif semble probable parce que les défauts (CVE-2025-20281) ont déjà attiré les exploits de preuve de concept public et de numériser le trafic en quelques jours, a ajouté Soroko.
Pour une protection supplémentaire, Barr recommande d’utiliser des solutions de sécurité API spécialisées qui peuvent détecter et bloquer l’activité API anormale en temps réel, fournir une notation à risque de terminaison et arrêter la numérisation automatisée et la livraison de charge utile.
Cisco a connu un mois chargé, altérant une averse de bogues max-sévérité. Plus tôt ce mois-ci, la société a corrigé un autre problème d’accès racinaire dans son équipement de communication, bien que celui-ci soit auto-infligé, avec DevOps cachant tranquillement des informations d’identification codées en dur pour un usage interne.
