Ah Cisco… Entre ton marketing musclé et tes patchs de dernière minute, tu restes fidèle à toi-même. Cette fois, c’est au tour de ton saint Graal de l’authentification réseau, Cisco ISE, de se faire gentiment démonter par des attaquants opportunistes. Et on ne parle pas d’une faille théorique planquée dans un coin obscur du code source. Non, non. On parle d’exploitation active dans la nature. Du live. Du sang. De la vraie cybersécurité comme on l’aime.
🎯 Cisco ISE, ou comment centraliser les accès… et les failles
Cisco Identity Services Engine (ISE), c’est un peu le cerbère du réseau : il contrôle qui entre, qui sort, qui respire, qui tousse. Sauf que là , Cerbère a la gueule grande ouverte, la laisse rompue et un panneau « accès libre » autour du cou. Les vulnérabilités récemment mises à jour (CVE-2025-20281, CVE-2025-20282 et CVE-2025-20337) touchent non seulement ISE, mais aussi ISE-PIC (le petit cousin chargé de collecter les identités), et elles sont déjà en train de faire des ravages.
Voir notre article du 26 juin 2025 : CVE-2025-20281/20282 : Cisco ISE fait sauter la banque… en CVSS 10
🧨 Les CVE du mois – service trois pièces :
- CVE-2025-20281 : Vulnérabilité de contournement d’authentification. Parce que qui a besoin de login quand on peut juste passer à travers ?
- CVE-2025-20282 : Exécution de commande arbitraire avec les droits SYSTEM. Oui, vous avez bien lu.
- CVE-2025-20337 : Failles dans le traitement des requêtes HTTP qui permettent, à distance, d’injecter des commandes. Classe.
Et Cisco de préciser dans sa mise à jour du 22 juillet : « Des tentatives d’exploitation actives ont été observées. »Comprendre : « Vous êtes déjà probablement compromis, mais on n’osait pas vous le dire avant. »
🕳️ Un service critique devenu passoire
ISE, dans de nombreuses architectures, c’est le chef d’orchestre du contrôle d’accès réseau. Il communique avec vos switchs, vos AP Wi-Fi, vos firewalls, vos annuaires. Bref, il sait tout sur qui est connecté, quand, et pourquoi.
Autant dire qu’une faille dans ISE, c’est comme laisser un badge d’accès admin global traîner à la cafétéria. Et que font les attaquants ? Ils se servent, bien sûr.
Imaginez un attaquant capable de :
- Se faire passer pour un utilisateur sans authentification.
- Exécuter du code arbitraire sur le serveur ISE avec les pleins pouvoirs.
- Agir en toute discrĂ©tion car les logs sont souvent… « optionnels » ou mal configurĂ©s.
Pas besoin de ransomware quand on a ce genre d’accès. Exfiltration, espionnage, rebond vers d’autres systèmes critiques : les possibilités sont infinies. Et ça ne concerne pas que les grandes entreprises. Les hôpitaux, les administrations, les sites industriels : tout le monde adore centraliser l’identité, et Cisco ISE est souvent leur outil de prédilection.
🛠️ Et côté patch ? Un classique Cisco
Cisco a bien publié des correctifs. Mais comme toujours :
- Certains correctifs ne sont disponibles que pour les versions « récentes ». Pour les autres ? Mettez-vous à jour… ou priez.
- Pas de mitigation officielle valable pour les systèmes non patchés, à part « désactiver les fonctionnalités vulnérables ». Autrement dit : « Éteignez le serveur si vous ne voulez pas qu’on l’attaque. »
- Une communication minimaliste jusqu’à la confirmation de l’exploitation active. Parce que la transparence, c’est surfait.
🤡 Mais pourquoi c’est grave, docteur ?
Parce que Cisco ISE, c’est le point névralgique de votre politique de sécurité réseau. S’il tombe, c’est toute votre logique de segmentation, d’authentification 802.1X, de détection comportementale et de remontée d’identité qui part en fumée. Et vous ne le saurez peut-être même pas.
Ces vulnérabilités rappellent une leçon simple : plus un système est central, plus son exposition est dangereuse. Et Cisco ISE, c’est central puissance 10.
📋 Que faire (si ce n’est déjà trop tard) ?
- Scanner tous vos équipements ISE et ISE-PIC : Vérifiez les versions, identifiez ceux qui sont vulnérables.
- Appliquer les correctifs immédiatement si disponibles.
- Renforcer la surveillance des logs, en particulier les connexions non authentifiées et les commandes systèmes inhabituelles.
- Isoler temporairement ISE dans un VLAN contrôlé si vous suspectez une compromission.
- Préparer un plan de repli. Oui, c’est moche, mais mieux vaut prévoir.
🧠L’avis de SecuSlice
Le pire dans cette histoire ? Ce n’est pas la faille, c’est que tout le monde savait que ça allait arriver. Cisco ISE, avec sa complexitĂ©, son interface Web paresseuse et son historique de bugs critiques, c’est un peu la Formule 1 de la sĂ©curitĂ© rĂ©seau… avec les freins absents.
👉 Si vous utilisez ISE, patcher ne suffit plus. Il faut repenser votre dépendance à un monolithe aussi critique.
Et si vous pensez que ça n’arrivera qu’aux autres… sachez qu’ils pensaient la même chose avant d’appeler l’équipe de réponse à incident.
