استغلال ثغرات Cisco ISE للوصول إلى صلاحيات Root بدون مصادقة
تحليل أمني - 22 يوليو 2025
الكاتب: مايستر نيرو
أعلنت شركة Cisco عن تعرض منتجاتها Identity Services Engine (ISE) وISE Passive Identity Connector (ISE-PIC) لهجمات نشطة تستغل ثغرات أمنية خطيرة يمكن استغلالها عن بُعد دون مصادقة للوصول إلى صلاحيات الجذر (Root) في النظام.
أوضح فريق الاستجابة للحوادث الأمنية لدى Cisco (PSIRT) أنهم رصدوا محاولات استغلال فعلية لهذه الثغرات في شهر يوليو 2025، دون الإفصاح عن الجهات التي تقف خلف هذه الهجمات أو مدى انتشارها.
تأثير الثغرات الأمنية
تُستخدم منصة Cisco ISE في إدارة الوصول إلى الشبكات والتحكم في هوية المستخدمين والأجهزة، مما يجعل اختراقها تهديدًا بالغ الخطورة. إذ يمكن للمهاجمين تجاوز سياسات الوصول والحصول على تحكم كامل في البنية التحتية.
الثغرات المصنفة ضمن درجة الخطورة القصوى (CVSS 10.0) تشمل ما يلي:
- CVE-2025-20281 و CVE-2025-20337: ثغرات في API تُمكّن المهاجم من تنفيذ أوامر كنظام التشغيل كـ Root دون مصادقة.
- CVE-2025-20282: ثغرة تتيح رفع ملفات عشوائية إلى الجهاز وتشغيلها بصلاحيات الجذر.
آلية الاستغلال
ترتبط الثغرتان الأوليان (20281 و20337) بضعف التحقق من المُدخلات ضمن API، بينما ناتجة الثغرة الثالثة (20282) عن غياب التحقق من صلاحية وموقع الملفات المرفوعة.
يمكن استغلال الثغرات عبر إرسال طلب API مُعد بعناية أو تحميل ملف خبيث يتم وضعه في مجلد حساس ثم تنفيذه تلقائيًا.
التوصيات الأمنية
- تحديث الأنظمة المتأثرة إلى الإصدارات الموصى بها فورًا.
- مراجعة سجلات النظام بحثًا عن أنشطة API مريبة أو عمليات رفع غير مصرّح بها.
- تقليل عرض النظام على الإنترنت ما لم يكن ضروريًا.
قامت وكالة الأمن السيبراني الأمريكية (CISA) بتاريخ 28 يوليو 2025 بإدراج CVE-2025-20281 وCVE-2025-20337 ضمن قائمة الثغرات المعروفة المستغلة (KEV)، وألزمت الجهات الفيدرالية الأمريكية بتطبيق التحديثات قبل 18 أغسطس.
تم التعديل في: 28 يوليو 2025