安全研究人员Bobby Gould近日公开了一篇详细博客,展示了针对Cisco Identity Services Engine(ISE)关键漏洞CVE-2025-20281的完整利用链。该漏洞允许未经身份验证的远程攻击者,上传并以root权限在目标系统上执行任意文件。Cisco已于今年6月披露该漏洞,并指出其影响ISE和ISE-PIC 3.3及3.4版本,漏洞源于enableStrongSwanTunnel()方法存在的不安全反序列化与命令注入问题。
在后续补丁发布后,Cisco再次提醒用户,该漏洞与编号为CVE-2025-20337的另一个相关漏洞同时被活跃利用,并敦促管理员尽快升级至3.3 Patch 7及3.4 Patch 2。Gould的博客详细说明了如何通过特制的Java字符串数组序列化载荷触发命令注入,并结合Java Runtime.exec()等手段获取容器内root权限,甚至利用Linux容器逃逸技术进一步控制宿主系统。
尽管该博客未提供可直接用于攻击的成熟漏洞利用脚本,但已披露全部必要技术细节和Payload结构,令有能力的攻击者可自行复现。安全专家警告,随着详细利用方法的出现,相关攻击活动有可能进一步加剧。目前暂无缓解方案,建议用户务必按照Cisco官方公告指引,及时完成补丁更新。