Sfruttamento della Vulnerabilità CVE-2025-20286: Flaw Critico di Cisco ISE Influisce sulle Implementazioni Cloud di AWS, Microsoft Azure e OCI

Una criticità vulnerabilità nel Cisco Identity Services Engine (ISE) consente a malintenzionati remoti non autenticati di recuperare informazioni sensibili ed eseguire azioni amministrative attraverso vari ambienti cloud una volta sfruttata. Con un codice di exploit PoC ora accessibile pubblicamente, il difetto, tracciato come CVE-2025-20286, rappresenta una seria minaccia per le organizzazioni globali che sfruttano il prodotto corrispondente di Cisco quando viene distribuito su popolari piattaforme cloud come AWS, Microsoft Azure e Oracle Cloud Infrastructure (OCI). 

Il panorama della cybersecurity continua a evolversi, mostrando una tendenza in aumento nei CVE critici, zero-day vulnerabilità, e un numero crescente di attacchi in-the-wild che prendono di mira difetti ad alto impatto. A giugno 2025, sono state divulgate oltre 20.000 vulnerabilità , rappresentando un aumento del 16% rispetto allo stesso periodo dell’anno precedente e evidenziando la necessità di maggiore vigilanza informatica per affrontare le minacce informatiche. 

Registrati alla piattaforma SOC Prime per accedere al feed delle minacce attive globali che offre CTI azionabile e algoritmi di rilevamento curati per identificare e prevenire tempestivamente attacchi in-the-wild che sfruttano vulnerabilità critiche. Esplora una vasta libreria di regole Sigma filtrate dal tag “CVE” e supportate da una suite completa di prodotti per il rilevamento avanzato delle minacce e l’hunting cliccando 

Tutti i rilevamenti possono essere utilizzati su dozzine di tecnologie SIEM, EDR e Data Lake e sono allineati con il MITRE ATT&CK framework per un’indagine intelligente delle minacce. Ogni regola è arricchita con CTI link, timeline degli attacchi, configurazioni di audit, raccomandazioni per il triage e altri metadati rilevanti. Clicca Esplora Rilevamenti sotto per raggiungere un’ampia collezione di regole Sigma basate sul comportamento e filtrate dal tag “CVE”:

Esplora Rilevamenti

Analisi CVE-2025-20286

Cisco ha recentemente emesso aggiornamenti di sicurezza per correggere una vulnerabilità critica di ISE che potrebbe facilitare operazioni dannose su sistemi colpiti quando sfruttata dagli avversari. La vulnerabilità, identificata come CVE-2025-20286 e assegnata un punteggio CVSS di 9.9 su 10, è classificata come un difetto di credenziali statiche. 

La vulnerabilità impatta le distribuzioni cloud di ISE su AWS, Azure e OCI, dando ai malintenzionati remoti non autenticati il via libera per accedere a dati sensibili, eseguire azioni amministrative limitate, alterare le impostazioni di sistema o interrompere i servizi. Sebbene esista un exploit PoC, Cisco afferma che non vi è alcuna indicazione di sfruttamento attivo in-the-wild.

La causa radice risiede nelle credenziali statiche generate impropriamente durante le distribuzioni cloud di Cisco ISE. Queste credenziali sono identiche in tutte le distribuzioni che condividono la stessa versione software e piattaforma cloud, portando a una situazione in cui, ad esempio, tutte le istanze di ISE versione 3.1 su AWS utilizzano le stesse credenziali. Tuttavia, queste credenziali statiche non sono intercambiabili tra versioni diverse o piattaforme cloud. Ad esempio, le credenziali per la versione 3.1 su AWS non funzionerebbero sulla versione 3.2, e le credenziali per la versione 3.2 su AWS differirebbero da quelle utilizzate su Azure.

Una volta sfruttata con successo, CVE-2025-20286 potrebbe permettere agli avversari di estrarre credenziali utente da un’istanza di Cisco ISE distribuita nel cloud e utilizzarle per accedere ad altre distribuzioni ISE attraverso diversi ambienti cloud tramite porte non sicure. Tuttavia, Cisco sottolinea che il problema riguarda solo le distribuzioni in cui il Primary Administration Node è ospitato nel cloud, mentre quelle on-prem non sono impattate.

Più specificamente, il difetto non impatta le distribuzioni on-premises (qualsiasi forma fattore installata tramite ISO o OVA), o le distribuzioni cloud su Azure VMware Solution, Google Cloud VMware Engine, o VMware Cloud su AWS. Esclude anche configurazioni ibride dove tutti i nodi amministrativi sono on-premises. Le versioni impattate includono le versioni Cisco ISE dalla 3.1 alla 3.4 su AWS, e le versioni ISE dalla 3.2 alla 3.4 su Azure e OCI. 

Sebbene non esista una soluzione diretta per questo difetto, Cisco raccomanda una serie di misure di mitigazione CVE-2025-20286 fattibili per minimizzare i rischi di sfruttamento, includendo la restrizione dell’accesso utilizzando i Cloud Security Groups, il mantenimento del controllo degli accessi basato su IP in Cisco ISE e il reset delle credenziali su installazioni fresche. Il fornitore ha rilasciato una correzione a caldo (ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz) applicabile alle versioni ISE dalla 3.1 alla 3.4, affrontando la vulnerabilità fino a quando non saranno disponibili versioni corrette. I clienti che usano le versioni 3.3 e 3.4 dovrebbero aggiornare rispettivamente alla 3.3P8 o 3.4P3. Un fix completo per la versione 3.5 è previsto per agosto 2025. 

A causa dei rischi di sfruttamento di CVE-2025-20286 e del suo impatto potenzialmente grave, gli utenti di Cisco ISE dovrebbero trattare questo difetto come una preoccupazione critica per la sicurezza e affrontarlo senza ritardi. Per aiutare i team di sicurezza a difendersi proattivamente dalle minacce emergenti e proteggere le organizzazioni dai tentativi di sfruttamento delle vulnerabilità, SOC Prime Platform offre una suite completa di prodotti supportata da IA, automazione e intelligence sulle minacce in tempo reale per costruire una postura di sicurezza informatica più robusta.