Cisco ISE ermöglicht Root-Zugriff ohne Authentifizierung
Zwei Schwachstellen mit dem Höchstwert CVSS 10.0 bedrohen die zentrale Sicherheitsinfrastruktur: Ungepatchte Cisco ISE-Systeme können Angreifern vollständigen Systemzugriff ermöglichen – ohne Anmeldung. Cisco ruft dringend zum Update auf.
Cisco hat zwei kritische Sicherheitslücken in seiner Plattform Identity Services Engine (ISE) und dem ISE Passive Identity Connector (ISE-PIC) geschlossen, die es nicht authentifizierten Angreifern ermöglichen, beliebigen Code mit Root-Rechten auszuführen. Die Schwachstellen wurden unter den Kennungen CVE-2025-20281 und CVE-2025-20282 registriert und mit einem CVSS-Score von10.0 bewertet – der höchstmöglichen Risikobewertung.
Was ist betroffen?
Die Schwachstellen betreffen folgende Versionen:
- CVE-2025-20281: ISE und ISE-PIC ab Version 3.3
- CVE-2025-20282: ISE und ISE-PIC Version 3.4
Beide Lücken erlauben Remote Code Execution (RCE) ohne vorherige Authentifizierung – das bedeutet: Angreifer können aus der Ferne vollständige Kontrolle über das System erlangen.
Technische Details: Zwei Einfallstore mit Root-Rechten
- CVE-2025-20281 beruht auf unzureichender Eingabevalidierung. Angreifer können über eine manipulierte API-Anfrage Root-Rechte erlangen und beliebige Befehle ausführen.
- CVE-2025-20282 basiert auf fehlender Dateiprüfung: Angreifer können beliebige Dateien hochladen und diese im privilegierten Systembereich ausführen – ebenfalls mit Root-Rechten.
Cisco erklärt dazu: „Ein erfolgreicher Exploit erlaubt es dem Angreifer, schädliche Dateien auf dem betroffenen System zu speichern und dann auszuführen – inklusive Root-Zugriff.“
Keine Workarounds – nur ein Patch hilft
Cisco weist darauf hin, dass es keine alternativen Abhilfemaßnahmen gibt. Die Schwachstellen lassen sich nur durch die Installation der offiziellen Patches beheben:
- Für CVE-2025-20281:
- ISE/ISE-PIC 3.3 Patch 6
- ISE/ISE-PIC 3.4 Patch 2
- Für CVE-2025-20282:
- ISE/ISE-PIC 3.4 Patch 2
Die jeweils relevanten Patch-Dateien sind über Cisco erhältlich und sollten sofort installiert werden, um das Risiko eines Angriffs auszuschließen.
Das Unternehmen würdigte Bobby Gould von der Trend Micro Zero Day Initiative sowie Kentaro Kawane von GMO Cybersecurity für das Melden der Schwachstelle CVE-2025-20281. Kawane, der zuvor bereits die Schwachstelle CVE-2025-20286 (CVSS-Score: 9,9) gemeldet hatte, wurde zudem auch für die Entdeckung von CVE-2025-20282 anerkannt.
Obwohl laut Cisco noch keine aktiven Angriffe beobachtet wurden, ist die Gefahr real: Schwachstellen dieser Art – insbesondere mit Root-Rechten ohne Authentifizierung – gehören zu den meistgesuchten Exploit-Zielen in Cybercrime-Kreisen. Sicherheitsexperten gehen davon aus, dass Exploit-Entwicklung und Massenscans in der Regel kurz nach Veröffentlichung der technischen Details beginnen.
ISE-Installationen jetzt patchen – kein Aufschub
Die Cisco Identity Services Engine ist ein zentraler Bestandteil vieler Unternehmensnetzwerke – gerade in sicherheitskritischen Umgebungen. Ein kompromittiertes ISE-System kann Netzwerkzugangskontrollen, Authentifizierungsprozesse und Identitätsprüfungen außer Kraft setzen – mit potenziell katastrophalen Folgen.
Organisationen sollten umgehend prüfen, ob betroffene Versionen im Einsatz sind, und die bereitgestellten Patches ohne Verzögerung einspielen. Wer nicht patcht, riskiert nicht nur den Verlust von Kontrolle – sondern die Kompromittierung der gesamten Netzwerkstruktur.