Интересно Эксплойт уже на GitHub. Главная система защиты Cisco снова пробита.

[Admin]

Эксплойт уже на GitHub. Главная система защиты Cisco снова пробита.​

Cisco выпускает исправления быстрее, чем Starbucks кофе — но хакеры всё равно на шаг впереди.​

Компания Cisco закрыла уязвимость в системе контроля сетевого доступа Identity Services Engine (ISE), для которой уже появился публичный proof-of-concept эксплойт. Ошибка может быть использована злоумышленником с административными правами и позволяет получить доступ к чувствительным данным на уязвимых устройствах.

Cisco ISE и связанный с ним компонент Passive Identity Connector (ISE-PIC) применяются в корпоративных сетях для управления доступом пользователей и устройств, в том числе в рамках моделей с нулевым доверием. Обнаруженная проблема получила идентификатор CVE-2026-20029 и затрагивает обе системы независимо от их конфигурации.

Как поясняет Cisco, уязвимость связана с некорректной обработкой XML-файлов в веб-интерфейсе управления. При загрузке специально подготовленного файла атакующий может заставить систему читать произвольные файлы базовой операционной системы. В результате под угрозой оказываются данные, которые обычно недоступны даже администраторам. При этом для эксплуатации ошибки требуется наличие действительных административных учетных данных.

Аналитики отмечают, что признаков использования уязвимости в реальных атаках пока не обнаружено. Однако в компании подтверждают, что демонстрационный эксплойт уже выложен в открытый доступ, что повышает риск злоупотреблений. По этой причине временные меры защиты и обходные решения рассматриваются лишь как краткосрочный вариант. Пользователям настоятельно рекомендуют обновиться до исправленных версий.

Исправления доступны в следующих релизах:

• версии ниже 3.2 необходимо обновить до поддерживаемой ветки.
• для ветки 3.2 исправление включено в патч 3.2 Patch 8.
• для 3.3 — в 3.3 Patch 8.
• для 3.4 — в 3.4 Patch 4.
• версия 3.5 уязвимости не подвержена.

Параллельно Cisco на этой неделе закрыла несколько проблем в IOS XE, которые позволяли удаленным злоумышленникам без аутентификации перезапускать модуль обнаружения Snort 3. Это могло приводить к отказу в обслуживании или утечке данных из сетевого трафика. В этих случаях публичных эксплойтов обнаружено не было, как и признаков атак.

В ноябре аналитики Amazon предупредили, что хакеры уже использовали критический zero-day. в Cisco ISE с идентификатором CVE-2025-20337 для установки кастомного вредоносного ПО. После выпуска патча Cisco сначала указывала на высокий риск, а позже подтвердила активную эксплуатацию, когда исследователь, нашедший проблему, опубликовал рабочий эксплойт.

Кроме того, в декабре Cisco сообщала об атаках со стороны китайской группировки UAT-9686, которая использует еще одну критическую уязвимость, CVE-2025-20393, в продуктах AsyncOS. Для нее исправление пока не выпущено, и компания рекомендует временно ограничивать доступ к уязвимым устройствам, разрешать подключения только с доверенных хостов, сокращать выход в интернет и изолировать системы с помощью межсетевых экранов.