Латать не успевают: Cisco ISE снова взломали, эксплойт уже в сети — а китайцы добивают через прошлые дыры
NewsMakerCisco выпускает исправления быстрее, чем Starbucks кофе — но хакеры всё равно на шаг впереди.
Компания Cisco закрыла уязвимость в системе контроля сетевого доступа Identity Services Engine (ISE), для которой уже появился публичный proof-of-concept эксплойт . Ошибка может быть использована злоумышленником с административными правами и позволяет получить доступ к чувствительным данным на уязвимых устройствах.
Cisco ISE и связанный с ним компонент Passive Identity Connector (ISE-PIC) применяются в корпоративных сетях для управления доступом пользователей и устройств, в том числе в рамках моделей с нулевым доверием. Обнаруженная проблема получила идентификатор CVE-2026-20029 и затрагивает обе системы независимо от их конфигурации.
Как поясняет Cisco, уязвимость связана с некорректной обработкой XML-файлов в веб-интерфейсе управления. При загрузке специально подготовленного файла атакующий может заставить систему читать произвольные файлы базовой операционной системы. В результате под угрозой оказываются данные, которые обычно недоступны даже администраторам. При этом для эксплуатации ошибки требуется наличие действительных административных учетных данных.
В Cisco отмечают, что признаков использования уязвимости в реальных атаках пока не обнаружено. Однако в компании подтверждают, что демонстрационный эксплойт уже выложен в открытый доступ, что повышает риск злоупотреблений. По этой причине временные меры защиты и обходные решения рассматриваются лишь как краткосрочный вариант. Пользователям настоятельно рекомендуют обновиться до исправленных версий.
Исправления доступны в следующих релизах:
Новость об уязвимости в ISE появилась на фоне недавних инцидентов. В ноябре аналитики Amazon предупредили, что хакеры уже использовали критическую zero-day ошибку в Cisco ISE с идентификатором CVE-2025-20337 для установки кастомного вредоносного ПО. После выпуска патча Cisco сначала указывала на высокий риск, а позже подтвердила активную эксплуатацию, когда исследователь, нашедший проблему, опубликовал рабочий эксплойт.
Кроме того, в декабре Cisco сообщала об атаках со стороны китайской группировки UAT-9686, которая использует еще одну критическую уязвимость, CVE-2025-20393, в продуктах AsyncOS. Для нее исправление пока не выпущено, и компания рекомендует временно ограничивать доступ к уязвимым устройствам, разрешать подключения только с доверенных хостов, сокращать выход в интернет и изолировать системы с помощью межсетевых экранов.
На этом фоне Cisco вновь подчеркивает, что своевременное обновление остается самым надежным способом снизить риски, особенно для решений, которые находятся в центре корпоративной инфраструктуры.
Компания Cisco закрыла уязвимость в системе контроля сетевого доступа Identity Services Engine (ISE), для которой уже появился публичный proof-of-concept эксплойт . Ошибка может быть использована злоумышленником с административными правами и позволяет получить доступ к чувствительным данным на уязвимых устройствах.
Cisco ISE и связанный с ним компонент Passive Identity Connector (ISE-PIC) применяются в корпоративных сетях для управления доступом пользователей и устройств, в том числе в рамках моделей с нулевым доверием. Обнаруженная проблема получила идентификатор CVE-2026-20029 и затрагивает обе системы независимо от их конфигурации.
Как поясняет Cisco, уязвимость связана с некорректной обработкой XML-файлов в веб-интерфейсе управления. При загрузке специально подготовленного файла атакующий может заставить систему читать произвольные файлы базовой операционной системы. В результате под угрозой оказываются данные, которые обычно недоступны даже администраторам. При этом для эксплуатации ошибки требуется наличие действительных административных учетных данных.
В Cisco отмечают, что признаков использования уязвимости в реальных атаках пока не обнаружено. Однако в компании подтверждают, что демонстрационный эксплойт уже выложен в открытый доступ, что повышает риск злоупотреблений. По этой причине временные меры защиты и обходные решения рассматриваются лишь как краткосрочный вариант. Пользователям настоятельно рекомендуют обновиться до исправленных версий.
Исправления доступны в следующих релизах:
- версии ниже 3.2 необходимо обновить до поддерживаемой ветки;
- для ветки 3.2 исправление включено в патч 3.2 Patch 8;
- для 3.3 — в 3.3 Patch 8;
- для 3.4 — в 3.4 Patch 4;
- версия 3.5 уязвимости не подвержена.
Новость об уязвимости в ISE появилась на фоне недавних инцидентов. В ноябре аналитики Amazon предупредили, что хакеры уже использовали критическую zero-day ошибку в Cisco ISE с идентификатором CVE-2025-20337 для установки кастомного вредоносного ПО. После выпуска патча Cisco сначала указывала на высокий риск, а позже подтвердила активную эксплуатацию, когда исследователь, нашедший проблему, опубликовал рабочий эксплойт.
Кроме того, в декабре Cisco сообщала об атаках со стороны китайской группировки UAT-9686, которая использует еще одну критическую уязвимость, CVE-2025-20393, в продуктах AsyncOS. Для нее исправление пока не выпущено, и компания рекомендует временно ограничивать доступ к уязвимым устройствам, разрешать подключения только с доверенных хостов, сокращать выход в интернет и изолировать системы с помощью межсетевых экранов.
На этом фоне Cisco вновь подчеркивает, что своевременное обновление остается самым надежным способом снизить риски, особенно для решений, которые находятся в центре корпоративной инфраструктуры.