Cisco выпустила исправление для критической уязвимости CVE-2026-20029 в платформах безопасности ISE и ISE-PIC, позволяющей администраторам раскрывать конфиденциальные файлы ОС. Сообщается о наличии публичного POC-эксплойта, но активной эксплуатации пока не зафиксировано.
Cisco устранила уязвимость в своих продуктах Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC), которая позволяла удаленным злоумышленникам с правами администратора получать доступ к конфиденциальной информации, и предупредила о существовании в сети публичного эксплойта, доказывающего наличие этого недостатка.
ISE — это платформа Cisco для контроля доступа к сети и обеспечения безопасности, которую компании используют для централизованного управления и применения политик безопасности в отношении пользователей и устройств.
Уязвимость, отслеживаемая как CVE-2026-20029, получила оценку средней степени серьезности 4.9 по шкале CVSS и затрагивает ISE и ISE-PIC независимо от конфигурации устройств. Она вызвана некорректной обработкой XML, которую обрабатывает веб-интерфейс управления ISE и ISE-PIC.
“Злоумышленник может воспользоваться этой уязвимостью, загрузив вредоносный файл в приложение”, — говорится в рекомендациях по безопасности, опубликованных в среду. “Успешная эксплуатация может позволить злоумышленнику прочитать произвольные файлы из базовой операционной системы, которые могут содержать конфиденциальные данные, недоступные даже администраторам”.
Cisco отметила, что ошибку обнаружил и сообщил о ней охотник за уязвимостями Бобби Гулд из Trend Micro Zero Day Initiative.
“Эта уязвимость действительно требует аутентификации, что является первым барьером для ее эксплуатации”, — сообщил The Register Дастин Чайлдс, глава отдела осведомленности об угрозах ZDI, добавив, что ZDI не ожидает широкого злоупотребления этим недостатком, учитывая высокие требования к привилегиям.
Однако, если предположить, что злоумышленник украл или иным образом получил учетные данные администратора, он “сможет раскрыть содержимое файлов на скомпрометированной системе”, — добавил Чайлдс.
Хорошая новость в том, что на данный момент Cisco и ZDI не располагают сведениями о реальном использовании этой CVE в атаках.
Но, учитывая наличие POC (proof-of-concept), который представляет собой чертеж того, как эксплуатировать ошибку, мы полагаем, что статус эксплуатации CVE-2026-20029 скоро изменится — поэтому устанавливайте исправления незамедлительно.
Неясно, кто опубликовал POC; Чайлдс сообщил, что это была не ZDI. “Мы не публиковали PoC для этой ошибки и не планируем этого делать”, — сказал он. “Нам неизвестно, где был опубликован публичный PoC”.
Компаниям следует уделить первоочередное внимание внедрению этого исправления, поскольку сетевое оборудование давно пользуется популярностью у спонсируемых государством злоумышленников — и особенно у хакеров из Китая, — а это означает, что компании не должны оставлять эти лазейки открытыми надолго.
В ноябре Amazon предупреждала, что “продвинутый” злоумышленник использовал критическую ошибку в ISE (CVE-2025-20337) как эксплойт нулевого дня для развертывания собственного вредоносного ПО.
В июле исследователи предупреждали, что злоумышленники эксплуатируют еще одну ошибку в ISE с рейтингом 10 из 10 по CVSS (CVE-2025-20281), что побудило Cisco признать активность в реальных условиях и настоятельно призвать клиентов установить исправления.
Сетевой гигант изначально раскрыл CVE-2025-20281 в рекомендациях по безопасности от июня, охватывающих несколько критических уязвимостей в тех же продуктах ISE, а затем обновил бюллетень по мере появления информации об эксплуатации. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/6
Bajan-score: 0.72822082
Автор – Jessica Lyons