Exploitation de la vulnérabilité CVE-2025-20286 : faille critique de Cisco ISE affectant les déploiements cloud AWS, Microsoft Azure et OCI
Une vulnérabilité critique dans le moteur de services d’identité (ISE) de Cisco permet à des attaquants distants non authentifiés de récupérer des informations sensibles et d’effectuer des actions administratives sur divers environnements cloud lors d’une exploitation. Avec un code exploit PoC désormais accessible au public, le défaut, suivi sous le nom de CVE-2025-20286, représente une menace sérieuse pour les organisations mondiales qui tirent parti du produit correspondant de Cisco lorsqu’il est déployé sur des plateformes cloud populaires comme AWS, Microsoft Azure, et Oracle Cloud Infrastructure (OCI). in Cisco’s Identity Services Engine (ISE) enables unauthenticated remote attackers to retrieve sensitive information and perform administrative actions across various cloud environments upon exploitation. With a PoC code exploit now publicly accessible, the flaw, tracked as CVE-2025-20286, poses a serious threat to global organizations that take advantage of the corresponding Cisco product when deployed on popular cloud platforms like AWS, Microsoft Azure, and Oracle Cloud Infrastructure (OCI).
Le paysage de la cybersécurité continue d’évoluer, montrant une tendance croissante des CVE critiques, les vulnérabilités zero-day, et un nombre croissant d’attaques en milieu naturel ciblant des failles à fort impact. En juin 2025, plus de 20 000 vulnérabilités ont été divulguées, représentant une augmentation de 16% par rapport à la même période l’année précédente et mettant en évidence le besoin d’une vigilance accrue pour surpasser les menaces cybernétiques.
Inscrivez-vous à la plateforme SOC Prime pour accéder au flux mondial de menaces actives offrant des CTI exploitables et des algorithmes de détection sélectionnés pour identifier à temps et prévenir les attaques en milieu naturel qui profitent des vulnérabilités critiques. Explorez une vaste bibliothèque de règles Sigma filtrées par le tag «CVE» et soutenues par une suite complète de produits pour une détection et une chasse avancées des menaces en cliquant
Toutes les détections peuvent être utilisées sur des dizaines de technologies SIEM, EDR et Data Lake et sont alignées avec le cadre MITRE ATT&CK pour une enquête intelligente sur les menaces. Chaque règle est enrichie de CTI liens, de chronologies d’attaques, de configurations d’audit, de recommandations de triage et d’autres métadonnées pertinentes. Cliquez sur Explorez les détections ci-dessous pour accéder à une vaste collection de règles Sigma basées sur le comportement filtrées par le tag «CVE» :
Analyse de CVE-2025-20286
Cisco a récemment émis des mises à jour de sécurité pour corriger une vulnérabilité critique de l’ISE qui pourrait faciliter des opérations malveillantes sur les systèmes affectés lorsqu’elle est utilisée par des adversaires. La vulnérabilité, identifiée comme CVE-2025-20286 et ayant reçu un score CVSS de 9,9 sur 10, est classée comme un défaut d’identifiants statiques.
La vulnérabilité impacte les déploiements cloud d’ISE sur AWS, Azure, et OCI, donnant aux attaquants distants non authentifiés le feu vert pour accéder à des données sensibles, effectuer des actions administratives limitées, modifier les paramètres système, ou perturber les services. Bien qu’il existe un exploit PoC, Cisco déclare qu’il n’y a aucune indication d’exploitation active en milieu naturel.
La cause principale réside dans la génération incorrecte d’identifiants statiques lors des déploiements cloud de Cisco ISE. Ces identifiants sont identiques dans tous les déploiements partageant la même version logicielle et la même plateforme cloud, menant à une situation où, par exemple, toutes les instances de la version 3.1 d’ISE sur AWS utilisent les mêmes identifiants. Cependant, ces identifiants statiques ne sont pas interchangeables entre différentes versions ou plateformes cloud. Par exemple, les identifiants pour la version 3.1 sur AWS ne fonctionneraient pas sur la version 3.2, et ceux pour la version 3.2 sur AWS différeraient de ceux utilisés sur Azure.
En cas d’exploitation réussie, CVE-2025-20286 pourrait permettre aux adversaires d’extraire des identifiants utilisateur d’une instance Cisco ISE déployée dans le cloud et de les utiliser pour accéder à d’autres déploiements d’ISE sur différents environnements cloud via des ports non sécurisés. Cependant, Cisco souligne que le problème n’affecte que les déploiements où le nœud d’administration principal est hébergé dans le cloud, tandis que ceux sur site ne sont pas touchés.
Plus spécifiquement, le défaut n’affecte pas les déploiements sur site (toute forme installée via ISO ou OVA), ou les déploiements cloud sur Azure VMware Solution, Google Cloud VMware Engine, ou VMware Cloud on AWS. Il exclut également les configurations hybrides où tous les nœuds administratifs sont sur site. Les versions affectées incluent les versions Cisco ISE 3.1 à 3.4 sur AWS, et ISE 3.2 à 3.4 sur Azure et OCI.
Alors qu’il n’existe pas de solution de contournement directe pour ce défaut, Cisco recommande un ensemble de mesures de mitigation réalisables pour CVE-2025-20286 afin de minimiser les risques d’exploitation, y compris restreindre l’accès à l’aide des groupes de sécurité cloud, maintenir un contrôle d’accès basé sur IP dans Cisco ISE, et réinitialiser les identifiants lors de nouvelles installations. Le fournisseur a publié un correctif à chaud (ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz) applicable aux versions ISE 3.1 à 3.4, traitant de la vulnérabilité jusqu’à ce que les versions corrigées soient disponibles. Les clients utilisant les versions 3.3 et 3.4 devraient passer à 3.3P8 ou 3.4P3, respectivement. Une correction complète pour la version 3.5 est prévue pour août 2025.
En raison des risques d’exploitation de CVE-2025-20286 et de son impact potentiellement sévère, les utilisateurs de Cisco ISE devraient traiter ce défaut comme un problème de sécurité critique et le résoudre sans délai. Pour aider les équipes de sécurité à défendre de manière proactive contre les menaces émergentes et à protéger les organisations contre les tentatives d’exploitation des vulnérabilités, la plateforme SOC Prime offre une suite de produits complète soutenue par l’IA, l’automatisation et des informations sur les menaces en temps réel pour bâtir une posture de cybersécurité plus robuste.
