Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critique dans Cisco ISE

Score CVSS :
10
Date de publication :
16/7/2025
Date de dernière mise à jour :
17/7/2025
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Cisco ISE / ISE-PIC versions 3.3 & 3.4.

Prérequis

• Accès réseau à l’interface de management

• Cisco Identity Services Engine (ISE) ou ISE Passive Identity Connector (ISE-PIC) en version vulnérable

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

• Déploiement de malware sur l’actif

Résumé

Cisco a publié un avis de sécurité sur une vulnérabilité critique affectant les solutions Cisco Identity Services Engine (ISE) et Cisco ISE Passive Identity Connector (ISE-PIC). Son score CVSSv3.1 est de 10.

La CVE-2025-20337 est une vulnérabilité dans une API spécifique de Cisco ISE et Cisco ISE-PIC qui pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur le système d'exploitation sous-jacent en tant que root. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité.

L’exploitation de cette CVE pourrait permettre à l’attaquant une compromission complète du Cisco ISE (exécution de commande, modification de la configuration Cisco ISE) , la perte du contrôle réseau (désactivation des politiques de sécurités, mouvement latéral), la modification des règles d’accès VPN, l’exfiltration de données sensibles et la désactivation des protections de sécurité (journaux d’audit, ajout de règles de redirection malveillantes….).

A l’heure actuelle, aucune trace d’exploitation par des groupes d’attaquants ou d’exploits publiques n’a été remonté.

Cependant, étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Solutions

Remédiation :

• Si Cisco ISE fonctionne avec la version 3.4 Patch 2, aucune autre action n'est nécessaire.

• Si Cisco ISE utilise la version 3.3 Patch 6, des correctifs supplémentaires sont disponibles dans la version 3.3 Patch 7, et l'appareil doit être mis à niveau.

• Si Cisco ISE a installé le correctif ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz ou le correctif ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz, Cisco recommande la mise à niveau vers la version 3.3 Patch 7 ou la version 3.4 Patch 2.

Mitigation :

Restreindre l’accès réseau à l’interface de management.

Références

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6

https://nvd.nist.gov/vuln/detail/CVE-2025-20337

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité