- شناسه CVE-2025-20343 :CVE
- CWE-697 :CWE
- yes :Advisory
- منتشر شده: نوامبر 5, 2025
- به روز شده: نوامبر 5, 2025
- امتیاز: 8.6
- نوع حمله: crafted-message
- اثر گذاری: Denial of Service (Dos)
- حوزه: مدیریت هویت و دسترسی
- برند: Cisco
- محصول: Cisco Identity Services Engine Software
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری انکار سرویس (DoS) در قابلیت رد درخواستهای RADIUS از کلاینتهایی با شکستهای مکرر در Cisco ISE شناسایی شده است. مهاجم بدون نیاز به احراز هویت میتواند با ارسال یک توالی خاص از بستههای RADIUS ساختهشده، نود ISE را مجبور به راهاندازی مجدد ناگهانی کند و بهطور موقت عملکرد احراز هویت شبکه را مختل سازد.
توضیحات
آسیبپذیری CVE-2025-20343 در Cisco Identity Services Engine (پلتفرم مدیریت هویت و دسترسی شبکه سیسکو) ناشی از خطای مقایسهای در منطق پردازش درخواستهای RADIUS Access-Request (درخواست های دسترسی RADIUS) است و مطابق با CWE‑697 طبقهبندی میشود. هنگام فعالبودن گزینه رد درخواستهای RADIUS از کلاینتهایی با شکستهای مکرر (Reject RADIUS requests from clients with repeated failures)، ISE آدرسهای MAC دارای شکست مکرر را بهعنوان اندپوینت های ردشده (suppressed endpoints) علامتگذاری میکند. خطای منطقی در نحوه مقایسه آدرسهای MAC باعث میشود که ارسال یک توالی خاص از بستههای RADIUS برای یک MACِ علامتگذاریشده، منجر به ناپایداری فرآیند ISE و راهاندازی مجدد ناگهانی (restart) کل نود شود.
این حمله نیاز به هیچگونه احراز هویتی ندارد و تنها با دسترسی شبکهای به پورتهای RADIUS (معمولاً UDP 1812/1813) قابل اجرا است؛ بنابراین مهاجم میتواند از راه دور و بدون تعامل کاربر، با ارسال درخواستهای Access‑Request ویژه، بهسرعت سرویس ISE را از دسترس خارج کند. بهرهبرداری بهراحتی قابل خودکارسازی است و میتوان با اسکریپتهای ساده توالی مناسب را تکرار کرد تا در مدت کوتاهی اختلال کامل (DoS) رخ دهد. این ضعف در نسخههای ISE 3.4.0 تا 3.4 Patch 3 وجود دارد و نسخههای 3.3 و پایین تر و همچنین 3.5 و بالاتر تحت تأثیر نیستند. سیسکو این آسیب پذیری را در ISE 3.4 Patch 4 پچ کرده است؛ لذا بهروزرسانی فوری به نسخه پچ شده توصیه میشود.
CVSS
| Score | Severity | Version | Vector String |
| 8.6 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 3.4.0
affected at 3.4 Patch 1 affected at 3.4 Patch 2 affected at 3.4 Patch 3 |
Cisco Identity Services Engine Software |
لیست محصولات بروز شده
| Versions | Product |
| 3.4 Patch 4 | Cisco Identity Services Engine Software |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Cisco IS را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 7,030 | site:.ir “Cisco IS” | Cisco IS |
نتیجه گیری
این آسیبپذیری با شدت بالا، یکی از سادهترین روشهای انکار سرویس (DoS) علیه زیرساخت احراز هویت شبکه است که میتواند دسترسی کاربران به شبکه را مختل کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر فوراً ضروری است:
- بهروزرسانی فوری: تمام نودهای ISE 3.4 را به 4 Patch 4 به روزرسانی کنید؛ این پچ در Cisco Software Download در دسترس است.
- پیادهسازی HA واقعی: حداقل دو نود ISE در حالت Active/Standby قرار دهید، لینکهای مانیتورینگ جداگانه برقرار کنید و تستهای دورهای failover (بازیابی خودکار) انجام دهید.
- فیلتر ترافیک RADIUS: با لیست کنترل دسترسی (ACL) روی سوئیچها یا فایروال، دسترسی به پورتهای UDP 1812/1813 (پروتکل RADIUS) را فقط به NASهای مجاز مانند سوئیچها، WLCها (کنترلر LAN بیسیم) یا گیت ویVPN ها محدود کنید.
- غیرفعالسازی موقت گزینه مسدود سازی: اگر امکان اعمال پَچ فوری وجود ندارد، موقتاً گزینه مسدودسازی درخواستهای RADIUS از کلاینتهایی با شکستهای مکرر را غیرفعال کنید اما توجه داشته باشید این کار حفاظت در برابر حملات brute‑force را کاهش میدهد و باید با نظارت دقیق انجام شود.
- نظارت و تشخیص: لاگهای ISE را برای شناسایی راه اندازی مجدد ناگهانی و افزایش غیرعادی درخواستهای RADIUS از یک منبع بررسی کنید؛ از Cisco Secure Network Analytics یا Splunk برای هشدارهایی مانند «ISE node restart» یا «RADIUS flood from single IP» استفاده نمایید.
- برنامهریزی بازه تعمیر و بهروزرسانی: پچ را در بازه برنامهریزیشده تعمیر و بهروزرسانی (maintenance window) اعمال کنید و پیش از استقرار در محیط اصلی، آن را بهطور کامل در محیط آزمایشی بررسی و تست نمایید.
اجرای این اقدامات، بهویژه اعمال پچ Patch 4 و محدودسازی دسترسی RADIUS، ریسک بهره برداری را به حداقل رسانده و از اختلال گسترده در سرویس های احراز هویت شبکه جلوگیری میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم با ارسال بستههای RADIUS از طریق شبکه (پورتهای UDP 1812/1813) بهصورت مستقیم یا از طریق نقطهای که به شبکه دسترسی دارد، به جریان پردازش درخواستهای ISE دسترسی پیدا میکند؛ بهرهبرداری نیاز به احراز هویت ندارد و با توالی ساختگی Access‑Request میتواند وضعیت نود را برانگیزد.
Defense Evasion (TA0005)
مهاجم میتواند بستههای مخرب را از آدرسهای مختلف یا با توزیع زمانی تغییر دهد تا از تشخیص ساده مبتنی بر حجم یا منبع عبور کند؛ همچنین حمله ممکن است با ترافیک قانونی ترکیب شود تا الگوهای تشخیص ساده را دور بزند.
Discovery (TA0007)
مهاجم ممکن است با اسکن پورتهای شبکه و ارسال آزمایشی Access‑Request به منظور شناسایی نودهای ISE آسیبپذیر و آزمایش رفتار suppression، برد حمله را مشخص کند؛ این مرحله ساده و قابل خودکارسازی است.
Impact (TA0040)
بهرهبرداری موفق میتواند موجب راهاندازی مجدد نود ISE و قطع موقت خدمات احراز هویت شده، بهطوری که کاربران نتوانند به شبکه متصل شوند و سرویسهای وابسته دچار اختلال شوند؛ اثر عملیاتی شامل از دسترس خارج شدن شبکه، اختلال در دسترسی کاربران و بار مدیریتی بالا برای بازیابی است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-20343
- https://www.cvedetails.com/cve/CVE-2025-20343/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-radsupress-dos-8YF3JThh
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20343
- https://vuldb.com/?id.331291
- https://github.com/B1ack4sh/Blackash-CVE-2025-20343
- https://nvd.nist.gov/vuln/detail/CVE-2025-20343
- https://cwe.mitre.org/data/definitions/697.html
