كشفت شركة سيسكو عن ثغرة أمنية بالغة الخطورة تؤثر على منتجي Cisco Identity Services Engine (ISE) وCisco ISE Passive Identity Connector (ISE-PIC)، والتي قد تمكّن المهاجمين من تنفيذ أوامر عشوائية على نظام التشغيل الأساسي بصلاحيات الجذر (Root) دون الحاجة لأي بيانات اعتماد.
الثغرة التي تم تتبعها تحت المعرف CVE-2025-20337 حصلت على الدرجة الكاملة 10.0 وفقًا لمقياس CVSS، وتتشابه مع الثغرة CVE-2025-20281 التي تم تصحيحها في نهاية الشهر الماضي.
بتنفيذ أوامر عشوائية على نظام التشغيل بصلاحيات الجذر
وبحسب البيان الأمني المحدث من سيسكو، فإن “عدة ثغرات في واجهة برمجة تطبيقات (API) محددة في ISE وISE-PIC قد تسمح لمهاجم عن بُعد غير موثوق بتنفيذ أوامر عشوائية على نظام التشغيل بصلاحيات الجذر، دون الحاجة إلى أي بيانات اعتماد صالحة”. وأوضحت الشركة أن السبب في هذه الثغرات هو “قصور في التحقق من صحة البيانات المُقدمة من المستخدم”، إذ يمكن للمهاجم استغلالها عبر إرسال طلب API مُعدّ بطريقة خبيثة، مما يمنحه صلاحيات الجذر على الجهاز المتأثر.
وقد نُسب اكتشاف هذه الثغرة إلى الباحث كنتارو كاواني من شركة GMO Cybersecurity، وهو ذاته الذي سبق له اكتشاف ثغرتين أخريين خطيرتين في ISE (CVE-2025-20286 وCVE-2025-20282) وثغرة حرجة أخرى في منتج Fortinet FortiWeb (CVE-2025-25257).
الثغرة CVE-2025-20337 تؤثر على إصدارات ISE وISE-PIC من النسخة 3.3 و3.4، بغض النظر عن إعدادات الجهاز، بينما لا تتأثر الإصدارات 3.2 وما دونها. وقد أصدرت سيسكو تحديثات لإغلاق الثغرة في الإصدارات التالية:
-
إصدار Cisco ISE أو ISE-PIC 3.3 (تم التصحيح في Patch 7)
-
إصدار Cisco ISE أو ISE-PIC 3.4 (تم التصحيح في Patch 2)
ولا توجد مؤشرات حتى الآن على استغلال هذه الثغرة في هجمات فعلية، إلا أن سيسكو توصي المستخدمين بتحديث أنظمتهم بشكل دوري لتفادي أي تهديدات محتملة.
نشر أدوات تحكم خبيثة (Web Shells) على الأجهزة الضعيفة
يأتي هذا الإفصاح في وقت كشفت فيه مؤسسة Shadowserver عن استغلال جهات تهديد لثغرة CVE-2025-25257 في منتج Fortinet FortiWeb لنشر أدوات تحكم خبيثة (Web Shells) على الأجهزة الضعيفة منذ 11 يوليو 2025.
وبحسب بيانات Shadowserver، بلغ عدد الأجهزة المصابة بالثغرة حتى 15 يوليو نحو 77 جهازًا، بانخفاض عن 85 جهازًا في اليوم السابق. وتمركزت معظم حالات الاختراق في أمريكا الشمالية (44)، تليها آسيا (14)، ثم أوروبا (13).
وأظهرت بيانات منصة Censys لإدارة سطح الهجوم وجود 20,098 جهاز Fortinet FortiWeb متصل بالإنترنت، دون احتساب أنظمة Honeypot، إلا أنه لم يُعرف بعد عدد الأجهزة التي لا تزال عرضة للثغرة المذكورة.
وأضافت Censys أن “هذه الثغرة تتيح للمهاجمين غير الموثوقين تنفيذ أوامر SQL عشوائية عبر طلبات HTTP مُعدة خصيصًا، مما يؤدي إلى تنفيذ أوامر عن بُعد (RCE)”.
