Cisco a publié des correctifs pour corriger deux vulnérabilités critiques dans sa plate-forme de gestion des politiques de sécurité Identity Services Engine (SE).
Les administrateurs d’entreprise utilisent CiscoSE comme solution de gestion des identités et des accès (IAM) qui combine l’authentification, l’autorisation et la comptabilité dans une seule appliance.
Les deux failles de sécurité (CVE-2025-20124 et CVE-2025-20125) peuvent être exploitées par des attaquants distants authentifiés avec des privilèges d’administrateur en lecture seule pour exécuter des commandes arbitraires en tant que root et contourner l’autorisation sur les périphériques non corrigés.
Ces vulnérabilités affectent les appliances Cisco Identity et Cisco Identity Passive Identity Connector (PIC-PIC), quelle que soit la configuration du périphérique.
« Cette vulnérabilité est due à une désérialisation non sécurisée des flux d’octets Java fournis par l’utilisateur par le logiciel affecté », a déclaré Cisco, décrivant le bogue CVE-2025-20124 étiqueté avec une cote de gravité de 9,9/10.
« Un attaquant pourrait exploiter cette vulnérabilité en envoyant un objet Java sérialisé contrefait à une API affectée. Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires sur l’appareil et d’élever les privilèges. »
CVE-2025-20125 est causé par un manque d’autorisation dans une API spécifique et une validation incorrecte des données fournies par l’utilisateur, qui peuvent être exploitées à l’aide de requêtes HTTP conçues de manière malveillante pour obtenir des informations, modifier la configuration d’un système vulnérable et recharger l’appareil.
Il est conseillé aux administrateurs de migrer ou de mettre à niveau leurs appliances Cisco I vers l’une des versions fixes répertoriées dans le tableau ci-dessous dès que possible.
| Versions logicielles Cisco I | Première Version Fixe |
|---|---|
| 3.0 | Migrez vers une version fixe. |
| 3.1 | 3.1P10 |
| 3.2 | 3.2P7 |
| 3.3 | 3.3P4 |
| 3.4 | Pas vulnérable. |
L’Équipe de réponse aux incidents de sécurité des produits (PSIRT) de Cisco n’a pas encore découvert de preuves de code d’exploitation accessible au public ou que les deux failles de sécurité critiques (signalées par les chercheurs en sécurité de Deloitte Dan Marin et Sebastian Radulea) ont été exploitées dans des attaques.
Mercredi, la société a également mis en garde contre des vulnérabilités de grande gravité affectant ses logiciels IOS, IOS XE, IOS XR (CVE-2025-20169, CVE-2025-20170, CVE-2025-20171) et NX-OS (CVE-2024-20397) qui peuvent permettre aux attaquants de déclencher des conditions de déni de service (DoS) ou de contourner la vérification de la signature d’image NX-OS.
Cisco n’a pas encore corrigé les vulnérabilités DoS affectant les logiciels IOS, IOS XE et IOS XR avec la fonctionnalité SNMP activée. Cependant, il a déclaré qu’ils ne sont pas exploités dans la nature et a fourni des mesures d’atténuation obligeant les administrateurs à désactiver les identificateurs d’objets vulnérables (IDs) sur les appareils vulnérables (bien que cela puisse avoir un impact négatif sur la fonctionnalité ou les performances du réseau).
La société prévoit de déployer des mises à jour logicielles pour résoudre les bogues de sécurité SNMP DoS en février et mars.
En septembre, Cisco a corrigé une autre vulnérabilité du moteur des services d’identité (avec un code d’exploitation public) qui permet aux auteurs de menaces d’augmenter les privilèges de root sur les appliances vulnérables.
Deux mois plus tard, il a également corrigé une vulnérabilité de gravité maximale qui permet aux attaquants d’exécuter des commandes avec des privilèges root sur des points d’accès de liaison sans fil Ultra-fiables vulnérables (URWB).