CrowdSec Threat Intelligence signale une nouvelle vague d'exploitation active de CVE-2025-20281, une vulnérabilité critique de type RCE affectant Cisco Identity Services Engine (ISE), notée CVSS 10.0. Après une première phase d'exploitation ciblée lors de sa divulgation en juin 2025, une recrudescence opportuniste a été observée à partir du 23 février 2026, les attaquants intégrant désormais cet exploit dans des kits d'attaque automatisés.
Cisco Identity Services Engine est un composant central de l'architecture de sécurité réseau dans les grandes entreprises et les administrations. Il centralise l'application des politiques d'accès pour l'ensemble des équipements connectés au réseau, en déterminant quels utilisateurs et quels appareils sont autorisés à accéder à quelles ressources. Sa compromission supprime de facto toute segmentation réseau : un attaquant disposant d'un accès root sur ISE peut créer des portes dérobées persistantes, contourner les contrôles d'accès et se déplacer latéralement sans obstacle vers l'ensemble des ressources internes. Le vecteur de menace couvre aussi bien le vol de données que le déploiement de rançongiciel à l'échelle du réseau interne. CVE-2025-20281 a été publiée le 25 juin 2025 avec un score CVSS de 10.0, le niveau maximal de criticité.
La vulnérabilité réside dans une validation insuffisante des données fournies par l'utilisateur dans l'API REST de Cisco ISE. Un attaquant distant non authentifié peut envoyer une requête HTTP forgée vers le point de terminaison, en injectant des commandes système arbitraires. L'exécution s'effectue avec les privilèges root, sans nécessiter d'authentification préalable ni d'interaction avec l'utilisateur. Ce profil d'exploitation explique le score CVSS 10.0 et classe cette vulnérabilité parmi les plus dangereuses de l'écosystème réseau d'entreprise. CrowdSec a publié une règle de détection le 13 août 2025 pour identifier et bloquer les tentatives d'exploitation.
Une vulnérabilité intégrée dans les kits d’attaque automatisés
L'absence d'authentification requise élargit considérablement la surface d'attaque, car tout système ISE dont l'interface d'administration ou l'API REST est exposée sur Internet est directement exploitable sans phase de reconnaissance préalable des identifiants. Les équipes SOC doivent considérer toute requête en provenance d'adresses IP non référencées dans les réseaux de gestion comme un indicateur de compromission potentiel à traiter en priorité.
Les données CTI de CrowdSec décrivent deux phases d'exploitation distinctes. Lors de la divulgation initiale et de la publication d'une preuve de concept, les attaques combinaient des tentatives ciblées, des menaces persistantes avancées intégrant l'exploit dans des campagnes spécifiques, et des tentatives opportunistes. Après stabilisation, une nouvelle vague a été détectée à partir du 23 février, principalement portée par des acteurs opportunistes ayant intégré CVE-2025-20281 dans leurs kits d'exploitation automatisée. Ce schéma est caractéristique du cycle de vie des vulnérabilités critiques non corrigées : après la phase initiale dominée par les acteurs sophistiqués, la démocratisation de l'exploit via les kits d'attaque élargit mécaniquement le nombre d'attaquants potentiels et le volume des tentatives.
Pour les RSSI, cette dynamique impose une réévaluation de la priorité de remédiation pour les organisations qui auraient différé l'application du correctif Cisco. La présence de l'exploit dans des kits automatisés signifie que le niveau de compétence requis pour l'exploitation est désormais minimal, et que le volume de tentatives va continuer à croître indépendamment des campagnes ciblées.
Mesures de remédiation prioritaires pour les équipes
Cisco a publié des correctifs dans son advisory officiel. Leur application immédiate constitue la seule correction définitive de la vulnérabilité. En parallèle, CrowdSec recommande trois actions opérationnelles. Premièrement, restreindre l'accès aux interfaces d'administration ISE et à l'API REST aux seuls réseaux de gestion de confiance, en s'assurant qu'aucune exposition Internet directe n'existe. Deuxièmement, analyser les journaux d'accès pour identifier toute requête suspecte, en remontant au minimum au 23 février dernier. Troisièmement, déployer le WAF CrowdSec pour bloquer proactivement les adresses IP répertoriées dans la Community Blocklist comme sources d'exploitation de cette CVE spécifique.
Pour les organisations soumises à NIS 2, la compromission d'un composant aussi central qu'ISE entre dans le périmètre des incidents à déclarer aux autorités compétentes dans les délais réglementaires. Les entreprises doivent s'assurer que les procédures de gestion des incidents couvrent explicitement ce scénario, et que les équipes SOC disposent des règles de détection CrowdSec ou équivalentes activées sur les périmètres concernés.
