CVE-2025-20281 und CVE-2025-20282: Kritische RCE-Schwachstellen in Cisco ISE und ISE-PIC ermöglichen Root-Zugriff
Mit den steigenden Temperaturen im Sommer nimmt auch die Welle kritischer Schwachstellen in der Cyber-Bedrohungslandschaft zu. Unmittelbar nach der Offenlegung der CVE-2025-49144-Schwachstelle in Notepad++ sind nun mehrere kritische Sicherheitslücken in Cisco Identity Services Engine (ISE) und dem ISE Passive Identity Connector (ISE-PIC) ans Licht gekommen. Die neu identifizierten Schwachstellen, katalogisiert unter CVE-2025-20281 und CVE-2025-20282, ermöglichen Angreifern ohne Authentifizierung Root-Zugriff auf die betroffenen Systeme – was das Risiko für Unternehmensnetzwerke erheblich erhöht.
Die Ausnutzung von Schwachstellen bleibt eine der gefährlichsten und dauerhaftesten Angriffsmethoden im modernen Bedrohungsszenario – insbesondere, wenn Schwachstellen Produkte betreffen, die branchenübergreifend und in kritischen Infrastrukturen weit verbreitet sind. Cyberkriminelle konzentrieren sich zunehmend auf Sicherheitslücken in beliebten Plattformen, um sich Erstzugriff zu verschaffen und die Kontrolle über zentrale Systeme zu übernehmen.
Laut dem neu veröffentlichten 2025 Data Breach Investigations Report (DBIR) von Verizon stieg die Nutzung von Schwachstellen als Erstzugriffsmethode um 34 % an und ist nun für 20 % aller Sicherheitsverletzungen verantwortlich. Ergänzend dazu zeigen Daten von Mandiant (Google), dass Schwachstellenausnutzung im fünften Jahr in Folge der häufigste Erstinfektionsvektor bei Incident-Response-Fällen war. In Fällen mit identifiziertem Einstiegspunkt begann jede dritte Kompromittierung (33 %) mit einer Software-Schwachstelle. Diese Entwicklungen verdeutlichen die Dringlichkeit von zeitnahen Patches, kontinuierlichem Schwachstellenmanagement und proaktiven Erkennungsstrategien – insbesondere für Systeme mit hohem Schutzbedarf.
RCE-Angriffe durch ungepatchte Schwachstellen erhöhen das Risiko für IT-Sicherheitsverantwortliche drastisch. Die kürzlich entdeckten kritischen RCE-Schwachstellen (CVE-2025-20281 und CVE-2025-20282) in Cisco-Produkten ermöglichen vollständige Remote-Kontrolle und Systemkompromittierung – ohne Authentifizierung oder Benutzerinteraktion. Eine ernsthafte Bedrohung für Organisationen weltweit.
Registrieren Sie sich auf der SOC Prime Platform, um Zugriff auf den globalen Active-Threat-Feed zu erhalten – mit Echtzeit-CTI und kuratierten Detection-Inhalten gegen aktuelle und neue Bedrohungen jeder Komplexität. Sicherheitsteams können auf die vollständige Sammlung kontextreicher Sigma-Regeln mit dem Tag „CVE“ zugreifen, unterstützt durch eine umfassende Produkt-Suite für KI-basierte Detection Engineering, automatisiertes Threat Hunting und fortschrittliche Bedrohungserkennung.
Alle Sigma-Regeln sind kompatibel mit verschiedenen SIEM-, EDR- und Data Lake-Formaten und auf das MITRE ATT&CK®-Framework abgestimmt, um Sicherheitsanalysen gezielt zu unterstützen. Jede Regel ist zudem mit relevanten Metadaten angereichert. Klicken Sie auf den Button Explore Detections, um direkt zur Detection-Übersicht für aktuelle Schwachstellen mit dem Tag „CVE“ zu gelangen.
Sicherheitsingenieure können auch auf Uncoder AI setzen, um Detection Engineering effizienter und umfassender umzusetzen – von der Query-Erstellung bis zur Regeloptimierung. Mit Uncoder AI lassen sich IOCs in maßgeschneiderte Hunting-Queries umwandeln, Detection-Logik direkt aus Live-Threat-Intelligence generieren sowie SOC-tauglicher Content per KI-Prompt erzeugen. Weitere Features: Syntaxprüfung, Angriffspfad-Visualisierung, MITRE ATT&CK-Anreicherung von Sigma-Regeln und Performance-Optimierung der Detection-Logik.
Analyse zu CVE-2025-20281 und CVE-2025-20282
Cisco hat kürzlich eine Sicherheitswarnung veröffentlicht, um Unternehmen vor zwei kritischen RCE-Schwachstellen in den ISE- und ISE-PIC-Plattformen zu warnen.
Die Schwachstellen CVE-2025-20281 und CVE-2025-20282 wurden mit kritischen CVSS-Scores bewertet: CVE-2025-20281 erhielt 9,8 und CVE-2025-20282 den Maximalwert von 10,0. Erstere betrifft ISE und ISE-PIC in den Versionen 3.3 und 3.4, letztere ausschließlich Version 3.4.
CVE-2025-20281 basiert auf unzureichender Validierung von Benutzereingaben in einer öffentlich zugänglichen API. Dadurch können Angreifer speziell gestaltete Anfragen senden, die beliebige OS-Befehle mit Root-Rechten ausführen. Die zweite Schwachstelle liegt in einer internen API mit unzureichender Dateiprüfung, wodurch Angreifer beliebige Dateien in geschützte Verzeichnisse hochladen und ausführen können – ebenfalls mit Root-Rechten. Laut Cisco erlaubt ein erfolgreicher Angriff das Speichern und Ausführen von Malware oder das Eskalieren von Benutzerrechten.
Aktuell existieren keine Workarounds. Die empfohlenen Gegenmaßnahmen zu CVE-2025-20281 und CVE-2025-20282 bestehen in der Installation der entsprechenden Patches. CVE-2025-20281 ist in ISE/ISE-PIC 3.3 Patch 6 und 3.4 Patch 2 behoben, CVE-2025-20282 in Version 3.4 Patch 2.
Beide Sicherheitslücken betreffen ein Produkt, das in großen Unternehmen, Behörden, Universitäten und bei Service-Providern weit verbreitet ist. Das Risiko eines Remote-Angriffs ist daher besonders hoch – insbesondere, da weder Authentifizierung noch Benutzeraktion erforderlich sind.
Auch wenn Cisco derzeit keine Hinweise auf aktive Ausnutzung vorliegen, wird allen Nutzern dringend geraten, umgehend auf die genannten (oder neueren) Produktversionen zu aktualisieren. Da beide Schwachstellen ein weit verbreitetes Produkt betreffen und keine Authentifizierung notwendig ist, ist schnelles Handeln entscheidend. Nutzen Sie die vollständige Produkt-Suite von SOC Prime – KI-gestützt und automatisiert – um Sicherheitslücken schnell zu erkennen, zu schließen und Angriffsrisiken zu minimieren.