CVE-2025-20281: Cisco ISE API ... Notiz

CVE-2025-20281: Cisco ISE API Schwachstelle für unauthentifizierte Remote-Codeausführung

"Ein Schwachpunkt in Cisco Identity Services Engine (ISE), speziell in der enableStrongSwanTunnel-Methode, ermöglichte die Eingabe von Befehlen als Root. Dies wurde ursprünglich als Deserialisierungs-Schwachstelle gemeldet, aber auch eine Schwachstelle für die Eingabe von Befehlen entdeckt. Der Forscher Kentaro Kawane entdeckte, dass Daten, die von einem Angreifer bereitgestellt wurden, verwendet wurden, um Shell-Skripte mit sudo-Rechten auszuführen. Die Ausnutzung erwies sich als komplexer als ursprünglich erwartet, weil die Java-Methode exec() Befehle tokenisiert. Java's StringTokenizer ignoriert Anführungszeichen, was die direkte Ausführung von Befehlen verhindert; jedoch umging der Forscher dies, indem er die interne Variable für den Feldtrenner (${IFS}) von Bash verwendete. Dies ermöglichte die Eingabe von Befehlen als einziges Argument, wodurch Tokenisierungsprobleme vermieden wurden. Die eingegebenen Befehle liefen zunächst innerhalb eines Docker-Containers, aber weil der Container in privilegierter Mode lief, verwendete der Forscher eine "User-Mode-Helpers"-Technik, um den Container zu verlassen und Root-Zugriff auf das Host-System zu erlangen. Eine Base64-Codierung wurde verwendet, um die Begrenzung des Leerzeichens in der Payload zu umgehen. Der vollständige Exploit umfasste das Senden einer speziell gestalteten POST-Anfrage an das verwundbare Endpoint. Diese erfolgreiche Ausnutzung demonstriert eine Kombination von Schwachstellen, die zu einer vollständigen Systemkompromittierung führen. Der Forscher betont die Wichtigkeit des Verständnisses sowohl des Verhaltens von Java's exec() als auch der Fähigkeiten privilegierter Docker-Container. Weitere Forschung in diesem Bereich ist geplant."
CdXz5zHNQW_BI9SLIJrly.jpeg