أكدت شركة Cisco الأميركية في تحذير حديث أن بعض الثغرات الحرجة في نظام إدارة الهوية ISE وموصّل الهوية السلبية ISE-PIC قد تعرّضت للاستغلال فعلياً من قبل مهاجمين في هجمات نشطة.
وأوضحت Cisco، في تحديث لتحذير أمني صدر يوم الإثنين، أن فريق الاستجابة للحوادث الأمنية للمنتجات (PSIRT) اكتشف محاولات استغلال حقيقية لهذه الثغرات منذ يوليو الجاري، دون أن تحدد الثغرات المستهدفة أو الجهات الفاعلة أو مدى اتساع الهجوم.
يُعد نظام ISE من Cisco أحد الأدوات المركزية في التحكم في الوصول إلى الشبكة، حيث يتحكم في صلاحيات دخول المستخدمين والأجهزة إلى الشبكات المؤسسية. ويعني اختراق هذا النظام فتح الباب أمام الوصول الكامل إلى الأنظمة الداخلية دون المرور بإجراءات التحقق المعتادة، مما قد يؤدي إلى تجاوز آليات المصادقة والتسجيل.
وتشمل الثغرات المعلنة ثلاث ثغرات حرجة، تم تصنيف كل منها بمعدل خطورة (CVSS) يبلغ ١٠.٠، وهي تمكّن المهاجم من تنفيذ أوامر نظام التشغيل بصلاحيات المستخدم الجذر (Root) دون الحاجة إلى المصادقة المسبقة:
- CVE-2025-20281 وCVE-2025-20337: ثغرات في واجهات برمجة التطبيقات (API) تتيح للمهاجم عن بُعد، ودون مصادقة، تنفيذ أوامر عشوائية على نظام التشغيل باستخدام صلاحيات الجذر.
- CVE-2025-20282: ثغرة في إحدى الواجهات البرمجية الداخلية تمكّن المهاجم من رفع ملفات عشوائية إلى الجهاز المستهدف وتنفيذها بصلاحيات الجذر.
تعود أسباب الثغرتين الأولى والثانية إلى ضعف في التحقق من مدخلات المستخدم، بينما تنجم الثالثة عن غياب فحوصات التحقق من الملفات، مما يسمح بحفظ الملفات الخبيثة في مجلدات حساسة على النظام.
ويُمكن للمهاجم استغلال الثغرات عبر إرسال طلبات API مصممة خصيصاً، أو عبر رفع ملفات خبيثة ثم تشغيلها في البيئة المصابة.
وأوصت Cisco العملاء بتحديث أنظمتهم إلى النسخ المحدثة على الفور، نظراً إلى أن هذه الثغرات يُمكن استغلالها عن بُعد ودون مصادقة، مما يُعرّض الأنظمة غير المُحدّثة لخطر شديد من تنفيذ التعليمات البرمجية عن بُعد قبل المصادقة، وهو ما يُعد من أخطر التهديدات في بيئات البنية التحتية الحساسة.
كما دعت Cisco فرق الأمن السيبراني إلى مراجعة سجلات النظام لاكتشاف أي نشاط مريب على واجهات البرمجة أو محاولات رفع ملفات غير مصرح بها، خاصةً في الأنظمة الموصولة مباشرةً بالإنترنت.
