思科 (Cisco) 警告：最高危ISE远程代码执行漏洞已被攻击者利用

思科 (Cisco) 近日发出警告称，三项近期修复的思科身份服务引擎（Cisco Identity Services Engine，ISE）远程代码执行漏洞现在已经被黑客积极利用。

虽然思科未明确说明这些漏洞具体是如何被利用的，或者是否已成功攻击，但厂商强调，尽快安装安全更新已变得非常关键。

“2025年7月，思科PSIRT（产品安全应急响应团队）获悉，某些漏洞已在野外被尝试利用，”更新后的公告中提到，“思科强烈建议客户升级到修复版本，及时解决这些漏洞”。

思科身份服务引擎（ISE） 是一个帮助大规模组织控制网络访问、执行安全策略的平台。

这三项漏洞最早在2025年6月25日（CVE-2025-20281 和 CVE-2025-20282）以及2025年7月16日（CVE-2025-20337）被披露。

以下是这些漏洞的简要介绍：

• CVE-2025-20281：思科ISE和ISE被动身份连接器（ISE-PIC）中的关键性未认证远程代码执行漏洞。攻击者可以通过特制的API请求，在底层操作系统上以root权限执行任意命令，无需身份验证。此漏洞已在ISE 3.3 Patch 7和ISE 3.4 Patch 2中修复。

• CVE-2025-20282：思科ISE和ISE-PIC 3.4版本中的关键性未认证任意文件上传与执行漏洞。由于文件验证不足，攻击者可以将恶意文件上传到特权目录并以root权限执行。此漏洞已在ISE 3.4 Patch 2中修复。

• CVE-2025-20337：思科ISE和ISE-PIC中的关键性未认证远程代码执行漏洞。攻击者通过特制的API请求，利用输入验证不足的漏洞，在无需凭证的情况下获得root权限。此漏洞已在ISE 3.3 Patch 7和ISE 3.4 Patch 2中修复。

这三项漏洞都被评为最大严重性（CVSS评分：10.0），且可以远程利用，无需身份验证，因此成为黑客入侵企业网络的重要目标。

思科此前已针对这三项漏洞发布了两个独立的热修复补丁，原因是漏洞发现时间不同。为了有效修复所有漏洞，管理员需要采取以下行动：

• ISE 3.3 用户必须升级至Patch 7

• ISE 3.4 用户必须升级至Patch 2

对于ISE 3.2及之前版本的用户，系统未受到影响，无需采取任何行动。

由于这三项漏洞没有应急解决方案，因此应用安全更新是唯一推荐的修复措施。