思科修補網路存取控制系統ISE重大漏洞

2月5日思科發布資安公告，指出旗下網路存取控制（NAC）解決方案Identity Services Engine（ISE）存在重大層級漏洞CVE-2025-20124、CVE-2025-20125，通過身分驗證的攻擊者能遠端執行任意命令，或是提升權限，該公司已發布軟體更新修補，並強調這些漏洞無法透過其他緩解措施因應，用戶應儘速套用更新處理。

雖然利用這些漏洞必須搭配必要條件，那就是攻擊者事先要取得有效、具讀取權限的管理者帳密，但思科也指出，攻擊者若是能挾持其中一個管理員帳號，就能利用這些漏洞。

根據CVSS風險評分高低判斷，問題最嚴重的是CVE-2025-20124，此為不安全的Java反序列化弱點，存在ISE的1個API當中，一旦攻擊者成功觸發，就有機會遠端以root使用者的身分執行任意命令，CVSS風險評為9.9（滿分10分）。

這項漏洞發生的原因，在於ISE對使用者提供的Java位元串流（Byte Stream）進行不安全的反序列化處理，攻擊者可在通過身分驗證的情況下，傳送特製的序列化Java物件到存在弱點的API觸發漏洞。

另一個重大層級的漏洞CVE-2025-20125，則是涉及授權繞過，同樣存在特定的API，遠端攻擊者在通過身分驗證並具備讀取權限帳密的情況下，有機會存取敏感資訊、竄改節點組態，甚至是將節點重新啟動，風險評分為9.1。

為何會有這個漏洞？思科指出問題出在特定API的使用未經過授權，以及對於使用者提供的資料未進行適當的驗證，攻擊者可對此API發送特製的HTTP請求觸發漏洞。