L’article publié par Zero Day Initiative détaille une vulnérabilité critique découverte dans Cisco Identity Services Engine (ISE), identifiée comme CVE-2025-20281. Cette faille permet une exécution de code à distance non authentifiée via une désérialisation de données non fiables dans la méthode enableStrongSwanTunnel de la classe DescriptionRegistrationListener.
L’analyse révèle que la vulnérabilité initiale a conduit à une injection de commande en tant que root, exploitée par l’attaquant pour obtenir un shell root sur les installations affectées de Cisco ISE, y compris l’évasion d’un conteneur Docker. Cette vulnérabilité est due à une mauvaise gestion de la désérialisation et à l’utilisation incorrecte de la fonction Runtime.getRuntime().exec() de Java.
L’attaque exploite la variable spéciale de Bash ${IFS} pour contourner la tokenisation Java et exécuter des commandes malveillantes. L’article décrit également comment l’attaquant a utilisé une technique d’évasion de conteneur en raison de la configuration en mode privilégié du conteneur Docker par Cisco.
Les indicateurs de compromission (IOCs) incluent l’utilisation de ${IFS} pour les injections de commande et la manipulation des scripts de configuration de StrongSwan. Les techniques, tactiques et procédures (TTPs) impliquent l’exploitation de la désérialisation Java et l’évasion de conteneurs Docker.
Cet article est une analyse technique approfondie visant à informer sur la nature de la vulnérabilité et les méthodes d’exploitation employées par l’attaquant.
🧠 TTPs et IOCs détectés
TTP
Exploitation de la désérialisation Java, Injection de commande, Évasion de conteneur Docker
IOC
Utilisation de ${IFS} pour les injections de commande, Manipulation des scripts de configuration de StrongSwan
🔗 Source originale : https://www.zerodayinitiative.com/blog/2025/7/24/cve-2025-20281-cisco-ise-api-unauthenticated-remote-code-execution-vulnerability