Vulnerabilità critiche in Cisco ISE: aggiornamenti urgenti necessari

Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha confermato ufficialmente che il suo Public Security Incident Response Team (PSIRT) ha registrato tentativi di sfruttamento di queste vulnerabilità in condizioni reali. Stiamo parlando di violazioni nei prodotti Cisco Identity Services Engine (ISE) e nel modulo Passive Identity Connector (ISE-PIC).

Cisco ISE svolge un ruolo chiave nel controllo degli accessi: determina chi può connettersi alla rete aziendale e a quali condizioni. Compromettere l’integrità di questa piattaforma offre agli aggressori accesso illimitato ai sistemi interni dell’azienda, consentendo loro di aggirare i meccanismi di autenticazione e logging, trasformando di fatto il sistema di sicurezza in una porta aperta.

Nella notifica ufficiale, l’azienda ha elencato tre vulnerabilità critiche con il punteggio CVSS più alto, pari a 10 su 10. Tutte e tre consentono a un aggressore remoto non autorizzato di eseguire comandi su un dispositivo vulnerabile come utente root, ovvero con i diritti più elevati nel sistema:

• CVE-2025-20281 e CVE-2025-20337 sono correlate alla gestione delle richieste API. Una convalida insufficiente dell’input dell’utente consente a un aggressore di creare una richiesta appositamente creata che può essere utilizzata per eseguire codice arbitrario sul server ISE;
• CVE-2025-20282 riguarda un’API interna priva di un adeguato filtraggio dei file caricati, consentendo a un aggressore di caricare un file dannoso e di eseguirlo in una directory protetta, anche con privilegi di root.

Tecnicamente, queste vulnerabilità derivano dalla mancanza di convalida dell’input (nei primi due casi) e da un controllo insufficiente sui percorsi di caricamento dei file (nel terzo). Le opzioni di sfruttamento spaziano dall’invio di una richiesta API appositamente predisposta al caricamento di un file preparato su un server. In entrambi gli scenari, un aggressore può aggirare i meccanismi di autenticazione e ottenere il pieno controllo del dispositivo.

Nonostante vengano attivamente sfruttate, Cisco non ha ancora reso noto chi ne sia l’autore o quanto sia diffusa la situazione. Tuttavia, il fatto stesso che siano comparsi exploit sottolinea la gravità della situazione.

L’azienda ha rilasciato patch per risolvere tutte le vulnerabilità e raccomanda vivamente ai propri clienti di aggiornare immediatamente il software alle versioni più recenti. I sistemi privi di patch sono a rischio di attacchi di tipo “remote takeover” senza necessità di autenticazione, il che è particolarmente pericoloso per le reti che operano sotto un elevato carico normativo o per le infrastrutture critiche.

Oltre a installare gli aggiornamenti, gli esperti consigliano agli amministratori di sistema di analizzare attentamente i registri delle attività per individuare segnali di richieste API sospette o tentativi di scaricare file non autorizzati, soprattutto se i componenti ISE sono accessibili esternamente.

La situazione di Cisco ISE dimostra ancora una volta quanto possano essere vulnerabili anche gli elementi chiave di un’architettura di sicurezza se le interfacce e i controlli dei dati utente non vengono adeguatamente controllati. Data la prevalenza di queste soluzioni negli ambienti aziendali, la loro compromissione può essere fatale per la sicurezza dell’intera rete interna.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione