Advarsel: Cisco sårbarheder kan give fuld root adgang

Cisco advarer om sårbarheder i ISE og CCP med offentlig exploit-kode

Cisco har udsendt sikkerhedsopdateringer, der lukker tre sårbarheder med tilhørende offentliggjorte exploit-koder i deres systemer Identity Services Engine (ISE) og Customer Collaboration Platform (CCP).

Den mest kritiske af disse fejl er CVE-2025-20286, en alvorlig sårbarhed med statiske legitimationsoplysninger, identificeret af Kentaro Kawane fra GMO Cybersecurity i Cisco ISE.

Softwaren bruges til identitetsbaseret politikhåndhævelse og administrerer netværksadgang og enheder i større virksomhedsmiljøer.

Denne sikkerhedsbrist skyldes fejlagtig generering af legitimationsoplysninger under implementering af Cisco ISE i cloud-miljøer.

Dette medfører, at flere forskellige cloud-installationer deler de samme adgangsoplysninger.

Angribere uden autentificering kan udnytte fejlen ved at udtrække brugernavne og adgangskoder fra én ISE cloud-implementering og dernæst anvende dem til at få adgang til andre miljøer.

Ifølge Cisco er det dog kun muligt at udnytte sårbarheden, hvis den primære administrationsnode er placeret i skyen.

“En sårbarhed i Amazon Web Services (AWS), Microsoft Azure og Oracle Cloud Infrastructure (OCI) cloud-implementeringer af Cisco Identity Services Engine (ISE) kan give en uautentificeret, ekstern angriber adgang til følsomme data, udføre begrænsede administrative handlinger, ændre systemkonfigurationer eller forstyrre tjenester i de berørte systemer,”

Kilde: Cisco Security Advisory – CVE-2025-20286

Cisco’s Product Security Incident Response Team (PSIRT) har bekræftet, at der allerede eksisterer proof-of-concept exploit-kode, som udnytter denne sårbarhed.

Lige nu mener de fleste at det aktivt anvendes af bl.a. russiske hackere, Kina, Nordkorea og andre, selvom Trump ikke lige mener at Rusland udgør nogen farer, selvom de står bag 50% af alle ransomware bander.

Følgende Cisco ISE-implementeringer er ikke sårbare

Cisco oplyser, at nedenstående implementeringstyper er undtaget fra sårbarheden:

  • Alle on-premise installationer uanset formfaktor, så længe softwaren er installeret via Cisco Software Download Center (ISO eller OVA).
  • ISE på Azure VMware Solution (AVS)
  • ISE på Google Cloud VMware Engine
  • ISE på VMware Cloud i AWS
  • Hybrid-installationer hvor både primær og sekundær administrationsnode er placeret on-premise og øvrige funktioner er i skyen.

Midlertidig løsning for udsatte cloud-installationer

Cisco anbefaler administratorer, der endnu ikke har implementeret hotfix, eller som ikke straks kan anvende det tilgængelige patch, at køre følgende kommando på den primære cloud-administrationsnode:

application reset-config ise

Denne kommando nulstiller brugernes adgangskoder til nye værdier.

!!! Cisco advarer dog om, at kommandoen nulstiller Cisco ISE til fabriksindstillinger, og at eventuel gendannelse fra backup vil gendanne de oprindelige – sårbare – adgangsoplysninger.

Yderligere to sårbarheder med offentlig exploit-kode rettet

Ud over CVE-2025-20286 har Cisco også udsendt patches for to øvrige sårbarheder, begge med offentlig tilgængelig exploit-kode:

CVESystemType af sårbarhedRisiko
CVE-2025-20130Cisco ISEArbitrær fil-uploadHøj
CVE-2025-20129Cisco CCP (tidl. SocialMiner)InformationslækageMellem

Disse fejl kan give angribere mulighed for at uploade vilkårlige filer til systemet (CVE-2025-20130) eller tilgå følsomme oplysninger (CVE-2025-20129) i løsninger anvendt til kundekommunikation og samarbejde.

Baggrund: Tidligere Cisco ISE-sårbarhed

Det er ikke første gang, at Cisco ISE er ramt af kritiske sårbarheder. Allerede i september 2024 blev der rettet en kommandoinjektionsfejl med tilhørende offentlig exploit-kode, som kunne give angribere root-adgang på utilstrækkeligt opdaterede systemer.

“En sårbarhed i Cisco ISE kunne tillade en godkendt angriber at injicere kommandoer og opnå root-rettigheder.

Kilde: Cisco Security Advisory – CVE-2024-20357

  • Kilde: cisco.com og icare.dk
  • Fotokredit: Cisco
  • Personer/Firmaer/Emner/#: #Cisco, #ISE, #CVE202520286, #CVE202520130, #CVE202520129, #Cybersikkerhed, #CloudSecurity, #ITCompliance, #AWS, #Azure, #OCI, #PSIRT
  • Copyrights: Ⓒ 2025 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.

Cybersikkerhed & Nyheder

Storskala bruteforce angreb mod de førende VPN-tjenester er i gang
| | | | | | |

Storskala bruteforce angreb mod de førende VPN-tjenester er i gang

afCybersikkerhed Checkpoint, CISCO, Draytek, Fortinet, Mikrotik, Sonicwall, Ubiquiti, VPN

Cisco advarer her til aften mod en omfattende kampagne for brute-force angreb, der sigter mod VPN- og SSH-tjenester på Cisco, CheckPoint, Fortinet, SonicWall og Ubiquiti-enheder over hele verden. Et brute-force angreb er processen med at forsøge at logge ind på en konto eller enhed ved at bruge mange brugernavne og adgangskoder, indtil den korrekte kombination…

Hvem er den største insidertrussel?
| | | | | | | | | | | | |

Hvem er den største insidertrussel?

afHenning Sand Sørensen CISCO, Cybersecurity, Cybersikkerhed, Datasikkerhed, Hacking, Hævn, IT-Sikkerhed, Malware, Medarbejdertrusler, Penetrationstest, Phishing, Ransomware, Sikkerhedshuller, Zero Trust

Phishing-simuleringer er ikke nok til at identificere organisationens største insidere-sårbarheder eller minimere risikoen fra dem. Penetrationstest viser ofte, hvor problematisk det kan være at med mennesker. Ofte ses det at folk henter og bruger tabte USB’er, opgiver adgangskoder over telefonen og endda klikker på simulerede phishing-links. Mange virksomheder har også set de virkelige konsekvenser af…

Cryptocurrency
| | | | | |

Hackere omgår Coinbase og MetaMask 2FA via TeamViewer og falsk supportchat

afHenning Sand Sørensen API, Coinbase, Hacking, Microsoft Azure, Multifaktorgenkendelse, PIXM, TeamViewer

En phishing-kampagne er i gang for at omgå multifaktorautentificering og få adgang til konti på Coinbase, MetaMask, Crypto.com og KuCoin og stjæle kryptokurrency. Hackerne misbruger Microsoft Azure Web Apps-tjenesten til at være vært for et netværk af phishing-websteder og lokke ofre til dem via phishing-meddelelser, der efterligner falske transaktionsbekræftelsesanmodninger eller registrering af mistænkelig aktivitet. For…

Frame
| | | | | | | | |

Kinesiske hackere bruger ny Cobalt Strike-lignende angrebsplatform

afHenning Sand Sørensen CISCO, Cobaltstrike, COVID-19, Cybersecurity, Hacking, IT-Sikkerhed, Kina, Manjusaka, Ransomware, RAT

Forskere har observeret en ny post-udnyttelse af en angrebsplatform, navngivet Manjusaka, som kan anvendes som et alternativ til det bredt misbrugte Cobalt Strike værktøjssæt eller parallelt med det til redundans. Manjusaka bruger implantater skrevet i programmeringssproget Rust på tværs af platforme, mens dets binære filer er skrevet i den lige så alsidige GoLang. Dens Remote…

Knappen “MUTE” i konference apps slår ikke mikrofonen fra
| | | |

Knappen “MUTE” i konference apps slår ikke mikrofonen fra

afMichael Rasmussen CISCO, Cybersecurity, Cybersikkerhed, Google, Microsoft

En ny undersøgelse viser, at tryk på mute-knappen på populære mange af de kendte videokonference-apps (VCA) stadog transmittere lyd/billed. Der bliver stadig lytter ind på din mikrofon. Mere specifikt forhindrer tryk på lydløs i den undersøgte software nemlig ikke lyd i at blive overført til udbyderens servere, hverken kontinuerligt eller periodisk. Dette snyderi står der…

billede-1-74
| |

Cisco afslører nul-dags sikkerhedshul med udnyttelseskode til IP-telefoner

afMichael Rasmussen CISCO, Nuldagssårbarhed, Sikkerhedshuller

Cisco har i dag afsløret en nul-dages sårbarhed, der påvirker den nyeste generation af sine IP-telefoner og udsætter dem for fjernudførelse af kode og DoS-angreb (Denial of Service). Virksomheden advarede torsdag om, at dets Product Security Incident Response Team (PSIRT) er “opmærksom på, at proof-of-concept-udnyttelseskode er tilgængelig”, og at “sårbarheden er blevet diskuteret offentligt.” Ciscos…