CVE-2025-20281 e CVE-2025-20282: Vulnerabilità RCE critiche in Cisco ISE e ISE-PIC che consentono accesso root
Con l’aumento delle temperature estive, anche il panorama delle minacce informatiche si scalda con nuove vulnerabilità critiche. Subito dopo la divulgazione della vulnerabilità CVE-2025-49144 in Notepad++, sono emerse diverse falle critiche nei prodotti Cisco Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC). Le nuove vulnerabilità, tracciate come CVE-2025-20281 e CVE-2025-20282, consentono ad attaccanti non autenticati di ottenere l’accesso root ai sistemi target, accrescendo significativamente i rischi per le reti aziendali.
L’exploit di vulnerabilità resta uno dei vettori di attacco più pericolosi e persistenti nel panorama delle minacce moderne, soprattutto quando le falle interessano prodotti largamente utilizzati da aziende di grandi dimensioni, enti pubblici e infrastrutture critiche. I criminali informatici privilegiano sempre più lo sfruttamento di falle di sicurezza in piattaforme popolari per ottenere l’accesso iniziale e il controllo sui sistemi critici.
Secondo il nuovo 2025 Data Breach Investigations Report (DBIR) di Verizon, l’utilizzo di vulnerabilità come metodo di accesso iniziale è aumentato del 34%, rappresentando ora il 20% di tutte le violazioni. Dati aggiuntivi di Mandiant (di proprietà Google) indicano che, per il quinto anno consecutivo, l’exploit di vulnerabilità è stato il vettore iniziale più comune rilevato nelle indagini sugli incidenti. Quando è stato possibile identificare il punto d’ingresso, nel 33% dei casi l’intrusione è partita da una vulnerabilità software. Queste tendenze evidenziano l’urgenza di una gestione proattiva delle vulnerabilità, aggiornamenti tempestivi e strategie di rilevamento efficaci, in particolare per i sistemi ad alto valore strategico.
Gli attacchi RCE derivanti da vulnerabilità non patchate aumentano drasticamente i rischi per i team di sicurezza. Le vulnerabilità RCE critiche (CVE-2025-20281 e CVE-2025-20282) che colpiscono prodotti Cisco potrebbero consentire il controllo remoto completo e la compromissione del sistema target senza bisogno di autenticazione o interazione dell’utente, rappresentando una minaccia grave per le organizzazioni a livello globale.
Iscriviti alla piattaforma SOC Prime per accedere al feed globale delle minacce attive, con CTI in tempo reale e contenuti di rilevamento curati per affrontare minacce attuali ed emergenti. I team di sicurezza possono consultare l’intera raccolta di regole Sigma arricchite dal contesto e taggate con “CVE”, supportate da una suite completa per l’ingegneria del rilevamento basata su IA, il threat hunting automatizzato e il rilevamento avanzato delle minacce.
Tutte le regole Sigma sono compatibili con diversi formati SIEM, EDR e Data Lake, e sono allineate con il framework MITRE ATT&CK® per facilitare le indagini di sicurezza. Ogni regola è inoltre arricchita con metadati rilevanti. Clicca sul pulsante Explore Detections qui sotto per accedere allo stack di rilevamento specifico relativo alle vulnerabilità correnti e passate filtrate dal tag “CVE”.
Gli ingegneri della sicurezza possono inoltre utilizzare Uncoder AI per semplificare e accelerare l’intero ciclo di ingegneria del rilevamento, migliorando efficienza e copertura. Con Uncoder AI è possibile convertire istantaneamente gli IOC in query di hunting personalizzate, costruire logiche di rilevamento a partire da threat intelligence in tempo reale, e generare contenuti pronti per il SOC tramite prompt IA personalizzati. La piattaforma offre anche validazione della sintassi, ottimizzazione della logica di rilevamento, visualizzazione automatica degli Attack Flow e arricchimento delle regole Sigma con tecniche e sotto-tecniche MITRE ATT&CK dettagliate.
Analisi di CVE-2025-20281 e CVE-2025-20282
Cisco ha recentemente pubblicato un bollettino di sicurezza per avvertire le organizzazioni di due vulnerabilità RCE critiche non autenticate che colpiscono le piattaforme ISE e ISE-PIC.
Le falle, identificate come CVE-2025-20281 e CVE-2025-20282, hanno ricevuto punteggi critici: la prima ha un CVSS di 9.8, mentre la seconda raggiunge il massimo punteggio possibile di 10.0. CVE-2025-20281 interessa le versioni ISE e ISE-PIC 3.3 e 3.4, mentre CVE-2025-20282 impatta solo la versione 3.4 del software.
CVE-2025-20281 deriva da una convalida insufficiente dell’input utente in un’API esposta pubblicamente, consentendo ad attaccanti remoti e non autenticati di inviare richieste appositamente create per eseguire comandi arbitrari con privilegi root. La seconda vulnerabilità è causata da una convalida inadeguata dei file in un’API interna, permettendo il caricamento ed esecuzione di file arbitrari in directory protette del sistema, anch’essa con accesso a livello root. Secondo Cisco, un exploit riuscito consentirebbe di memorizzare file dannosi o elevare i privilegi fino a root.
Attualmente non sono disponibili soluzioni temporanee. Le misure di mitigazione per CVE-2025-20281 e CVE-2025-20282 consistono nell’applicazione delle patch appropriate. CVE-2025-20281 è stata risolta nelle patch 3.3 Patch 6 e 3.4 Patch 2 per ISE/ISE-PIC, mentre CVE-2025-20282 è corretta nella patch 3.4 Patch 2.
Entrambe le vulnerabilità interessano un prodotto comunemente utilizzato da grandi aziende, enti governativi, università e provider di servizi, aumentando notevolmente il rischio di compromissione remota, soprattutto considerando che non è richiesta autenticazione né interazione dell’utente.
