CVE-2025-20281 et CVE-2025-20282 : Faille RCE critique dans Cisco ISE et ISE-PIC permettant un accès root

Alors que la chaleur estivale s’intensifie, la vague de vulnérabilités critiques embrase également le paysage des menaces cyber. Dans la foulée de la divulgation de la vulnérabilité CVE-2025-49144 affectant Notepad++, plusieurs failles critiques ont été découvertes dans Cisco Identity Services Engine (ISE) et ISE Passive Identity Connector (ISE-PIC). Les nouvelles vulnérabilités, référencées CVE-2025-20281 et CVE-2025-20282, permettent à des attaquants non authentifiés d’obtenir un accès root aux systèmes ciblés, accentuant considérablement le niveau de risque au sein des réseaux d’entreprise.
L’exploitation de vulnérabilités reste l’un des vecteurs d’attaque les plus redoutables et persistants dans le paysage actuel des menaces, notamment lorsqu’elles touchent des produits largement utilisés par de grandes entreprises, y compris dans le secteur public et les infrastructures critiques. Les cybercriminels privilégient de plus en plus l’exploitation de failles dans des plateformes populaires pour obtenir un accès initial et prendre le contrôle de systèmes sensibles.
Selon le nouveau rapport DBIR 2025 de Verizon, l’utilisation des vulnérabilités comme vecteur d’accès initial a augmenté de 34 %, représentant désormais 20 % de toutes les violations de données. En complément, les données de Mandiant, une entité de Google, indiquent que pour la cinquième année consécutive, l’exploitation de failles reste le vecteur d’infection initial le plus observé lors des interventions de réponse à incident. Lorsqu’un point d’entrée a pu être identifié, 33 % des intrusions débutaient par l’exploitation d’une vulnérabilité logicielle. Ces tendances soulignent l’urgence de maintenir une gestion continue des vulnérabilités, de déployer les correctifs à temps, et d’adopter des stratégies proactives de détection, en particulier pour les systèmes critiques au cœur de l’infrastructure institutionnelle.
Les attaques RCE issues de vulnérabilités non corrigées augmentent considérablement les enjeux pour les équipes cybersécurité. L’apparition des failles RCE critiques CVE-2025-20281 et CVE-2025-20282 affectant les produits Cisco peut entraîner une prise de contrôle à distance complète et la compromission du système cible, sans nécessiter d’authentification ni d’interaction utilisateur — ce qui représente un risque majeur pour les organisations à l’échelle mondiale.
Inscrivez-vous à la plateforme SOC Prime pour accéder au flux mondial des menaces actives en temps réel, avec du contenu de détection enrichi et sélectionné pour contrer les menaces actuelles et émergentes, quel que soit leur niveau de complexité. Les équipes de sécurité peuvent consulter l’ensemble des règles Sigma enrichies par contexte, étiquetées “CVE”, et bénéficier d’une suite complète de produits pour l’ingénierie de détection pilotée par l’IA, la chasse automatisée et la détection avancée des menaces.
Toutes les règles Sigma sont compatibles avec plusieurs formats SIEM, EDR et Data Lake, et alignées avec MITRE ATT&CK® pour assister les analystes dans leurs investigations. Chaque règle est enrichie de métadonnées pertinentes. Cliquez sur le bouton Explore Detections ci-dessous pour accéder directement aux règles de détection liées aux vulnérabilités actuelles, filtrées par le tag “CVE”.
Les ingénieurs sécurité peuvent également s’appuyer sur Uncoder AI pour optimiser l’ingénierie de détection de bout en bout, améliorant à la fois la couverture et l’efficacité. Grâce à Uncoder AI, les équipes peuvent convertir instantanément les IOCs en requêtes de chasse personnalisées, créer des logiques de détection à partir de renseignements sur les menaces en temps réel à l’aide de l’IA, et générer du contenu SOC-ready via des prompts AI personnalisés. Uncoder AI offre aussi la validation de syntaxe, l’optimisation des logiques de détection, la visualisation automatique des Attack Flows, et l’enrichissement des règles Sigma avec les techniques et sous-techniques MITRE ATT&CK, pour une détection plus rapide et plus fiable.
Analyse des vulnérabilités CVE-2025-20281 et CVE-2025-20282
Cisco a récemment publié un avis de sécurité pour alerter sur deux vulnérabilités RCE critiques non authentifiées affectant ses plateformes ISE et ISE-PIC.
Les failles, identifiées sous CVE-2025-20281 et CVE-2025-20282, ont été classées critiques, la première avec un score de 9.8 et la seconde atteignant la note maximale de 10.0. CVE-2025-20281 affecte les versions 3.3 et 3.4 d’ISE et ISE-PIC, tandis que CVE-2025-20282 touche uniquement la version 3.4.
CVE-2025-20281 est due à une validation insuffisante des entrées utilisateur dans une API exposée publiquement, permettant à des attaquants distants non authentifiés d’envoyer une requête spécialement conçue pour exécuter des commandes OS arbitraires avec les privilèges root. La seconde faille provient d’une validation inadéquate des fichiers dans une API interne, permettant l’envoi et l’exécution de fichiers malveillants dans des répertoires système protégés, menant également à un accès root. Selon Cisco, un exploit réussi permettrait de stocker et d’exécuter des fichiers malveillants ou d’obtenir une élévation de privilèges.
À ce jour, aucun contournement n’est disponible. Les mesures de mitigation recommandées pour CVE-2025-20281 et CVE-2025-20282 consistent à appliquer les correctifs officiels. CVE-2025-20281 est corrigée dans ISE/ISE-PIC 3.3 Patch 6 et 3.4 Patch 2, tandis que CVE-2025-20282 est corrigée dans la version 3.4 Patch 2.
Ces deux vulnérabilités concernent un produit couramment utilisé par les grandes entreprises, les organismes gouvernementaux, les universités et les fournisseurs de services, ce qui rend le risque de compromission à distance particulièrement élevé — d’autant plus qu’aucune authentification ni action utilisateur n’est requise.
Bien que Cisco indique ne pas avoir observé d’exploitation active à ce jour, tous les utilisateurs sont fortement incités à mettre à jour immédiatement vers les versions corrigées mentionnées ci-dessus (ou des versions ultérieures). Puisque ces vulnérabilités affectent un produit largement utilisé dans les environnements critiques, le risque est particulièrement sévère. En raison de l’absence d’authentification ou d’interaction requise, il est impératif que les défenseurs agissent avec rapidité et rigueur pour limiter l’exposition potentielle. Appuyez-vous sur la suite complète de solutions SOC Prime, pilotée par l’IA, l’automatisation et des renseignements exploitables, pour anticiper les menaces critiques exploitant des vulnérabilités connues et réduire le risque d’attaques ciblées.