Een kritieke kwetsbaarheid in Cisco Identity Services Engine (ISE) en Cisco ISE Passive Identity Connector (ISE-PIC) is sinds 5 juli misbruikt bij aanvallen, zo stelt The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en onderzoek naar kwetsbare systemen op internet doet. Cisco kwam zelf pas op 21 juli met een waarschuwing voor actief misbruik.

Cisco ISE is een 'network access control' oplossing waarmee organisaties kunnen beheren welke endpoints, gebruikers en apparaten toegang tot het netwerk krijgen. Cisco kwam op 25 juni met beveiligingsupdates voor verschillende kritieke kwetsbaarheden in ISE. Eén van de beveiligingslekken is CVE-2025-20281. Deze kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde, remote aanvaller om als root willekeurige code op het onderliggende besturingssysteem uit te voeren.

Het versturen van een speciaal geprepareerd API request volstaat voor een aanvaller om misbruik te kunnen maken. Volgens Cisco wordt het probleem veroorzaakt door onvoldoende validatie van gebruikersinvoer. De impact van CVE-2025-20281 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 21 juli meldde Cisco dat aanvallers actief misbruik van ISE-kwetsbaarheden maken, maar werd niet gemeld welke precies.

Gisteren maakte het netwerkbedrijf duidelijk dat het om CVE-2025-20281 en CVE-2025-20337 ging. Deze laatste kwetsbaarheid is nagenoeg identiek aan CVE-2025-20281. The Shadowserver Foundation laat tegenover The Register weten dat het rond 5 juli al de eerste signalen van misbruik van CVE-2025-20281 zag en sindsdien werden een aantal andere pogingen waargenomen. Zowel Cisco als The Shadowserver Foundation hebben geen verdere informatie over de aanvallen gegeven.