בסוף יוני 2025, חשפה סיסקו שתי פגיעויות קריטיות של ביצוע קוד מרחוק: CVE-2025-20281 ו- CVE-2025-20282 . פגיעויות אלו משפיעות על ה-ISE (Identity Services Engine) וה-ISE-PIC (Passive Identity Connector) שלה. שתי הפגיעויות נושאות ציון CVSS מקסימלי של 10.0, ואם ינוצלו, הן עלולות לאפשר לתוקפים מרוחקים ולא מאומתים לבצע קוד שרירותי עם הרשאות root.
בעוד ששתי הפגיעויות מהוות סיכון משמעותי, CVE-2025-20282 בולט במיוחד בשל הסתמכותו על וקטור איום שמתעלמים ממנו בדרך כלל: העלאות קבצים.
CVE-2025-20282: מה שאתם צריכים לדעת
CVE-2025-20282 משפיע על סיסקו ISE ו-ISE-PIC 3.4, ומאפשר לתוקפים מרוחקים לא מאומתים להעלות קבצים שרירותיים למכשיר מושפע ולאחר מכן להפעיל אותם עם הרשאות מוגברות. שורש הבעיה? היעדר בדיקות אימות קבצים במהלך תהליך ההעלאה.
לפי ההמלצה של סיסקו:
"ניצול מוצלח של התקיפה עלול לאפשר לתוקף לאחסן קבצים זדוניים במערכת המושפעת ולאחר מכן להריץ קוד שרירותי או לקבל הרשאות root במערכת."
בניגוד ל-CVE-2025-20281, שנובע מפגיעה API אימות בקשה, CVE-2025-20282 הוא דוגמה קלאסית לטיפול לא תקין בקלט קבצים, המהווה פער אבטחה קריטי שניתן לצמצם באמצעות נוהלי אבטחה מבוססים להעלאת קבצים.
מדריך העלאת הקבצים של OWASP מדגיש אימות קבצים
דף ההעלאה של קבצים של OWASP מדגיש זה מכבר את החשיבות של אימות קבצים לפני שהם מורשים להיכנס לכל סביבה. Core ההמלצות כוללות:
- אימות סוגי קבצים וסיומות
- סריקה אחר תוכנות זדוניות שמקורן בקבצים
- הגבלת מיקומי העלאה
- יישום CDR (נטרול ושחזור תוכן)
במקרה של CVE-2025-20282, אי-אכיפה נכונה של אימות קבצים אפשרה לתוקפים למקם קבצים זדוניים בספריות מורשות, ובכך לעקוף למעשה אמצעי הגנה בסיסיים.
זה בדיוק סוג הסיכון ש OPSWAT של MetaDefender הפלטפורמה בנויה לעצירה.
אכיפת שיטות עבודה מומלצות לאבטחת קבצים עם OPSWAT MetaDefender ®
פתרון MetaDefender לאבטחת קבצים , כאשר הוא נפרס אסטרטגית בנקודות העלאה והעברה של קבצים, מונע ניצול של פגיעויות אפס-יום כמו CVE-2025-20282 על ידי עצירת קבצים זדוניים לפני שהם מגיעים למערכת היעד.
MetaDefender עבור אבטחת קבצים מופעל על ידי טכנולוגיות רב-שכבתיות מובילות בתעשייה, כולל:
- Multiscanning של Metascan™ : סורק קבצים באמצעות יותר מ-30 מנועי אנטי-וירוס
- File Type Verification : מאשר את סוג הקובץ האמיתי, ללא קשר לסיומת
- File-Based Vulnerability Assessment : זיהוי פגיעויות של יישומים לפני התקנתן
- SBOM : מזהה קבצים וקוד מקור המכילים רכיבים עם CVE ידועים.
- אכיפת מדיניות: חסימה או הסגר אוטומטית של קבצים שנכשלו בבדיקה
מקרה שימוש: אבטחת העלאת קבצים
כַּאֲשֵׁר MetaDefender כאשר "אבטחת קבצים" ממוקמת לפני זרימת עבודה של העלאת קבצים (כמו הממשק מבוסס האינטרנט של Cisco ISE), היא מבטיחה:
- הקבצים נסרקים ומאומתים לפני שהם מתקבלים
- סוגי קבצים לא ידועים או לא מורשים חסומים כדי למנוע זיופים
- מטענים זדוניים מזוהים ומוסרים
- מידע אישי מזהה (PII) ונתונים רגישים מזוהים באמצעות מודלים המופעלים על ידי בינה מלאכותית, ולאחר מכן נחסמים או מוסרים.
- מדיניות האבטחה נאכפת באופן עקבי
בין אם קבצים מועלים באופן ידני על ידי משתמשים או באמצעות מערכות אוטומטיות, OPSWAT מבטל את הפער ש-CVE-2025-20282 מנצל, ומאמת את הקובץ לפני שהמערכת רואה אותו.
תיקון ומניעה
סיסקו פרסמה תיקונים לשתי הפגיעויות:
- CVE-2025-20281: תוקן ב-ISE 3.3 תיקון 6 וב-3.4 תיקון 2
- CVE-2025-20282: תוקן ב-ISE 3.4 Patch 2
למרות שאין כרגע ראיות לניצול פעיל, הסיכון נותר גבוה. ארגונים המשתמשים ב-Cisco ISE צריכים להחיל באופן מיידי תיקונים ולשקול עד כמה זרימות העבודה שלהם להעלאת קבצים מאובטחות באמת.
עם פגיעויות ב-CVSS 10.0 המקושרות כעת למנגנוני העלאת קבצים, ברור: סריקת תוכנות זדוניות לבדה אינה מספיקה, ואימות קבצים אינו נתון למשא ומתן.
אימות קבצים אינו אופציונלי
CVE-2025-20282 אינו רק בעיה של סיסקו. זוהי תזכורת לכך שכל מערכת המקבלת העלאות קבצים היא מטרה פוטנציאלית.
על ידי יישום שכבת הגנה על העלאת קבצים המשלבת סריקת תוכנות זדוניות עם אימות סיומת קבצים כמו MetaDefender עבור אבטחת קבצים, ארגונים יכולים לסגור את הפער הזה בעזרת:
- סריקה לפני העלאה : הגנה מפני קבצים זדוניים בהיקף
- ניתוח קבצים רב-שכבתי : מספק גילוי ומניעה נרחבים של איומים
- אכיפת אפס אמון ברמת הקובץ : מניעת כניסת תוכן לא בטוח לסביבות הארגונים
אם אתם רוצים לחסום את התשתית שלכם מפני מתקפת האפס-יום הבאה, או למנוע ניצול של פגיעויות ידועות, התחילו באבטחת קבצים.
למדו עוד על האופן שבו OPSWAT MetaDefender לאבטחת קבצים מגן על זרימות עבודה של העלאה, העברה ואחסון קבצים וקבלו פתרונות מותאמים אישית לארגון שלכם.
