Cisco waarschuwt voor actief misbruik van kritieke ISE-kwetsbaarheden
Aanvallers maken actief misbruik van kritieke kwetsbaarheden in Cisco Identity Services Engine (ISE) en Cisco ISE Passive Identity Connector (ISE-PIC) waardoor kwetsbare servers volledig op afstand zijn over te nemen. Dat heeft Cisco bekendgemaakt. Cisco ISE is een 'network access control' oplossing waarmee organisaties kunnen beheren welke endpoints, gebruikers en apparaten toegang tot het netwerk krijgen.
De in totaal drie kwetsbaarheden die Cisco in het beveiligingsbulletin noemt hebben een impact van 10.0 op een schaal van 1 tot en met 10. De eerste twee kwetsbaarheden (CVE-2025-20281 en CVE-2025-20337) maken het mogelijk voor een ongeauthenticeerde, remote aanvaller om als root willekeurige code op het onderliggende besturingssysteem uit te voeren. Hiervoor volstaat het versturen van een speciaal geprepareerd API request. Volgens Cisco wordt het probleem veroorzaakt door onvoldoende validatie van gebruikersinvoer.
Het tweede beveiligingslek (CVE-2025-20282) maakt ook remote code execution mogelijk. In dit geval kan een aanvaller bestanden naar het systeem uploaden en zo willekeurige code uitvoeren of rootrechten op het systeem krijgen. Dit probleem wordt volgens Cisco veroorzaakt door een gebrek aan "file validation checks", waardoor een aanvaller zijn bestanden kan uploaden naar directories op de server waar dit eigenlijk niet zou moeten.
Cisco kwam eind juni met updates en stelde dat het toen nog niet met misbruik bekend was. In eerste instantie maakte het beveiligingsbulletin alleen melding van CVE-2025-20281 en CVE-2025-20282, maar op 16 juli werd CVE-2025-20337 daar ook aan toegevoegd. Cisco geeft geen details over de waargenomen aanvallen.
Kijk, als het nu een fabrikant van een ander merk was, soi. Maar meteen root rechten met een API call?
Klinkt toch erg als backdoor. Maar dat doen alleen chinezen volgens deze amerikanen. Do as I say, not as I do. Iedereen aan de democratie, desnoods met bommen voor vrede, freedom fries en liberty cabbage. Alles wat de marketing afdeling kan vinden.
I don’t buy it.
De oorzaken klinken ook alsof iemand de basisregels van secure coding even heeft overgeslagen: onvoldoende inputvalidatie en geen file validation checks. Serieus, Cisco? Dat zijn de hoofdstukken 1 en 2 van het OWASP-boek. Dit is alsof je zegt: “Onze deur is gepantserd, maar we hebben geen slot erop gedaan.”
En natuurlijk de tijdlijn: eind juni patch, toen “nog geen misbruik bekend”, en nu in juli blijkt het feestje al aan de gang te zijn. Klassiek. Voor iedereen die dacht: “We plannen de patch wel voor Q4,” succes met het terugzetten van je netwerksegmentatie en het schrijven van het incidentrapport.
Pro tip: als je NAC-oplossing (bedoeld om toegang te controleren) zélf het grootste risico vormt, is het misschien tijd om dat segmentatieplan niet meer “later” te doen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?