- شناسه CVE-2025-20286 :CVE
- CWE-259 :CWE
- yes :Advisory
- منتشر شده: ژوئن 4, 2025
- به روز شده: ژوئن 5, 2025
- امتیاز: 9.9
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: تجهیزات شبکه و امنیت
- برند: Cisco
- محصول: Cisco Identity Services Engine Software
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری بحرانی در فرآیند استقرار Cisco ISE روی پلتفرمهای ابری مانند AWS، Azure و OCI شناسایی شده است. در این آسیبپذیری، به دلیل استفاده از اطلاعات ورود یکسان (Static Credentials) برای نسخههای مشابه در بسترهای ابری، مهاجم از راه دور میتواند با بهدست آوردن این اطلاعات، به سایر نمونههای مشابه دسترسی پیدا کند. این موضوع ممکن است منجر به دسترسی غیرمجاز به اطلاعات حساس، انجام برخی عملیات مدیریتی، تغییر پیکربندی سیستم یا حتی ایجاد اختلال در عملکرد سرویسها شود.
توضیحات
یک آسیبپذیری امنیتی بحرانی در فرآیند استقرار Cisco ISE روی پلتفرمهای ابری مانند AWS، Azure و OCI شناسایی شده است. این آسیبپذیری ناشی از استفاده از اعتبارنامههای پیشفرض و یکسان برای همه نمونههای ISE با نسخه و پلتفرم مشابه است (برای مثال، همه نمونههای نسخه 3.1 روی AWS دارای نام کاربری و رمز عبور یکسان هستند).
از آنجا که این اعتبارنامهها بهصورت هارد کد شده (مطابق با CWE-259) در سیستم ذخیره شدهاند، در صورت عدم تغییر آنها توسط مدیر سیستم، مهاجم میتواند با دسترسی به یکی از نمونهها، این اطلاعات را استخراج کرده و به سایر نمونههای مشابه نیز دست یابد. این دسترسی میتواند منجر به مواردی همچون نفوذ به دادههای حساس، اجرای برخی عملیات مدیریتی، تغییر در پیکربندی سامانه و حتی ایجاد اختلال در سرویس شود. این آسیبپذیری تنها در صورتی فعال است که Node اصلی مدیریت (Primary Administration Node) در محیط ابری مستقر شده باشد؛ در صورت استقرار آن در زیرساخت داخلی (On-Premises)، سیستم تحت تأثیر قرار نخواهد گرفت.
از آن جایی که این آسیبپذیری سه اصل کلیدی امنیت سایبری شامل محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسپذیری (Availability) را تحت تأثیر قرار میدهد و همچنین کد اثبات مفهومی (PoC) برای آن وجود داشته، اعمال پچ امنیتی فوری اهمیت بالایی دارد. با این حال، تاکنون گزارشی از سوءاستفاده فعال از این آسیبپذیری منتشر نشده است.
CVSS
| Score | Severity | Version | Vector String |
| 9.9 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 3.1.0
affected at 3.1.0 p1 affected at 3.1.0 p3 affected at 3.1.0 p2 affected at 3.2.0 affected at 3.1.0 p4 affected at 3.1.0 p5 affected at 3.2.0 p1 affected at 3.1.0 p6 affected at 3.2.0 p2 affected at 3.1.0 p7 affected at 3.3.0 affected at 3.2.0 p3 affected at 3.2.0 p4 affected at 3.1.0 p8 affected at 3.2.0 p5 affected at 3.2.0 p6 affected at 3.1.0 p9 affected at 3.3 Patch 2 affected at 3.3 Patch 1 affected at 3.3 Patch 3 affected at 3.4.0 affected at 3.2.0 p7 affected at 3.3 Patch 4 affected at 3.4 Patch 1 affected at 3.1.0 p10 affected at 3.3 Patch 5 |
Cisco Identity Services Engine Software |
لیست محصولات بروز شده
| Cisco ISE Release | Hot Fix | First Fixed Release |
| 3.0 and earlier | Not applicable. | Not affected. |
| 3.1 | ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz This hot fix applies to Releases 3.1 through 3.4. |
Migrate to a fixed release. |
| 3.2 | ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz This hot fix applies to Releases 3.1 through 3.4. |
Migrate to a fixed release. |
| 3.3 | ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz This hot fix applies to Releases 3.1 through 3.4. |
3.3P8 (November 2025) |
| 3.4 | ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz This hot fix applies to Releases 3.1 through 3.4. |
3.4P3 (October 2025) |
| 3.5 | Not applicable. | Planned release (Aug 2025) |
نتیجه گیری
به منظور کاهش سطح ریسک و جلوگیری از بهرهبرداری احتمالی، سازمانها باید در اسرع وقت نسبت به نصب پچ امنیتی یا مهاجرت به نسخههای اصلاحشده اقدام نمایند.
در کوتاهمدت، میتوان با استفاده از گروههای امنیتی (Security Groups) در بسترهای ابری و اعمال محدودیتهای دسترسی مبتنی بر آدرس IP، از دسترسی مهاجمان بالقوه جلوگیری کرد. این اقدامات میتوانند بهعنوان راهکارهای موقت (Mitigation Techniques) در نظر گرفته شوند، اما راهکار قطعی و بلندمدت، بهروزرسانی کامل Cisco ISE به نسخهای است که بهطور رسمی از سوی Cisco پچ شده و آسیبپذیری در آن برطرف شده است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-20286
- https://www.cvedetails.com/cve/CVE-2025-20286/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-aws-static-cred-FPMjUcm7
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20286
- https://vuldb.com/?id.311174
- https://nvd.nist.gov/vuln/detail/CVE-2025-20286
- https://cwe.mitre.org/data/definitions/259.html
