思科紧急“排雷”：Identity Services Engine两大高危漏洞修复

思科紧急发布了针对两个关键漏洞的补丁程序，这两个漏洞犹如隐藏在网络世界中的“定时炸弹”，一旦被引爆，后果不堪设想。

此次被发现的两个漏洞，分别被跟踪为CVE - 2025 - 20281和CVE - 2025 - 20282。思科毫不吝啬地给它们分配了最高10/10的严重性评级，尽管国家漏洞数据库将CVE - 2025 - 20281的严重性降低到了9.8，但这也足以表明这两个漏洞的严重程度不容小觑。它们就像网络世界的“超级病毒”，一旦入侵，能让未经验证的远程攻击者在易受攻击的系统上为所欲为，执行各种恶意代码。

这两个漏洞主要影响Cisco Identity Services Engine（ISE）和Cisco ISE Passive Identity Connector（ISE - PIC）。ISE作为一种网络访问控制解决方案，广泛部署在安全的网络服务器、虚拟机和一些云实例上，它就像是网络世界的“守门人”，负责控制和管理网络访问权限。而ISE - PIC则用于用户认证过程，它就像一个“信息收集员”，被动地收集身份数据并将其输入到其他安全工具中，为网络安全提供重要的身份信息支持。

思科明确表示，这两个漏洞是相互独立的，它们可以单独被利用，攻击者不需要先利用其中一个漏洞，就能直接利用另一个。这就好比两把不同的“钥匙”，都能打开同一扇危险的大门。

具体来看，CVE - 2025 - 20281影响ISE和ISE - PPIC（3.4）以及3.3版本，但不包括这两个最新版本之前的任何版本。其根本问题出在一个API上，由于对用户提供的输入验证不足，就像给大门留了一个没有锁好的缝隙，攻击者可以提交一个精心制作的请求给该API，无需认证或有效凭证，就能轻松获得设备的root权限。一旦获得root权限，攻击者就可以在底层操作系统上执行任何他们想要的代码，这无疑是对系统安全的致命打击。

CVE - 2025 - 20282同样是由于一个易受攻击的内部API导致的。这个漏洞就像一个“文件传送门”，未经验证的攻击者可以通过滥用它，将文件上传到受影响设备上，并在底层操作系统上以root权限执行这些文件。思科在其安全公告中详细解释道：“此漏洞是由于缺乏文件验证检查，导致上传的文件被放置在受影响系统上的特权目录中。攻击者可以通过向受影响设备上传精心构造的文件来利用此漏洞。成功的利用可能会允许攻击者在受影响的系统上存储恶意文件，然后执行任意代码或获得系统的根权限。”与CVE - 2025 - 20281不同的是，此10/10号漏洞仅影响ISE和ISE - PIC的当前版本，即版本3.4。

目前，思科表示还没有发现针对这两个漏洞的已知有效攻击，但为了防止不法分子利用这些弱点进行攻击，关于漏洞的全部细节正在严格保密中，以便管理员有足够的时间应用可用的补丁程序。这就好比在敌人发动攻击前，先加固自己的防线。

思科现在已经可以向客户推送更新，并且强烈建议客户尽早应用这些更新，因为目前还没有可以缓解这两种漏洞的变通方法。对于CVE - 2025 - 20281，升级到版本3.3补丁6或3.4补丁2是解决问题的有效方法；对于CVE - 2025 - 20282，版本3.4补丁2是唯一可用的更新，因为版本3.3并不特别容易受到此漏洞的影响。虽然版本3.2及更早的版本不受这些安全问题的影响，但在科技飞速发展的今天，为了获得更好的性能和更全面的安全保障，在可能的情况下，最好升级到最新的可用版本。

回顾今年早些时候，思科也曾发布了针对同一两个组件（ISE和ISE - PIC）的补丁，当时那些漏洞影响了版本3.0到3.3。与最新发现的这一对漏洞一样，它们都因为API漏洞而受到严重评级，并且需要有效的只读管理员凭据，这无疑增加了攻击的难度，但也提醒着网络安全人员要时刻保持警惕。