یک آسیبپذیری بحرانی با شناسه CVE-2025-20343 و شدت بالا (امتیاز ۸.۶) در تنظیمات RADIUS موتور خدمات هویت سیسکو (Cisco Identity Services Engine - ISE) شناسایی شده است. این نقص که در عملکرد رد درخواستهای RADIUS از کلاینتهای با شکستهای مکرر از قابلیت احراز هویت و دسترسی شبکه این نرمافزار وجود دارد، به مهاجمان بدون احراز هویت این امکان را میدهد که حتی بدون نصب یا فعالسازی قابلیت خاصی، بهصورت از راه دور، با ارسال توالی خاصی از پیامهای درخواست دسترسی RADIUS دستکاریشده برای یک آدرس MAC که قبلاً به عنوان endpoint رد شده شناخته میشود، خطای منطقی ایجاد کنند. این آسیبپذیری میتواند منجر به راهاندازی مجدد غیرمنتظره Cisco ISE، ایجاد وضعیت منع سرویس (DoS) و اختلال کامل در خدمات احراز هویت شبکه شود. این نقص به دلیل خطای منطقی در پردازش درخواستهای دسترسی RADIUS برای آدرسهای MAC ردشده رخ میدهد.
جزئیات فنی (بردارهای حمله)
این آسیبپذیری بر اساس بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H ارزیابی شده است. این نقص از طریق شبکه قابل بهرهبرداری است و نیازی به دسترسی محلی ندارد (AV:N). بهرهبرداری از آن پیچیدگی کمی دارد و به مهارتهای پیشرفته نیاز ندارد (AC:L). هیچ نیازی به احراز هویت (PR:N) یا تعامل کاربر (UI:N) ندارد. این آسیبپذیری میتواند محدودهای فراتر از سیستم هدف را تحت تأثیر قرار دهد (S:C)، مانند سایر دستگاههای وابسته به ISE برای احراز هویت. هیچ تأثیری بر محرمانگی (C:N) یا یکپارچگی (I:N) ندارد، اما تأثیر بالایی بر دسترسیپذیری (A:H) ایجاد میکند و میتواند منجر به راهاندازی مجدد سیستم و توقف خدمات شود.
|
محصول |
نسخههای آسیبپذیر |
نسخههای وصلهشده |
|
Cisco ISE 3.3 |
قبل از 10 |
نسخه 10 و بالاتر |
|
Cisco ISE 3.2 |
قبل از 13 |
نسخه 13و بالاتر |
|
Cisco ISE 3.1 |
قبل از 16 |
نسخه 16 و بالاتر |
توصیههای امنیتی
برای رفع این آسیبپذیری و جلوگیری از سوءاستفاده مهاجمان، اقدامات زیر ضروری است:
- تمامی نسخههای آسیبپذیر Cisco ISE به نسخههای وصلهشده ارتقا داده شود.
- دسترسی به پورتهای RADIUS از طریق فایروال محدود شود و فقط به IPهای مورد اعتماد اجازه داده شود.
منابع
- 20