网络安全漏洞 - 思科身份服务引擎(ISE)和ISE被动身份连接器(ISE-PIC)存在三个关键漏洞(CVE-2025-20281、CVE-2025-20282、CVE-2025-20337)，均获得CVSS最高10分评级 [1][2] - 漏洞允许未经认证的远程攻击者以root权限执行任意命令，完全控制系统 [2] - CVE-2025-20281和CVE-2025-20337影响ISE和ISE-PIC 3.3及3.4版本，CVE-2025-20282仅影响3.4版本 [5] 技术影响 - 攻击者可获取底层操作系统root权限、执行任意命令、横向移动网络、访问敏感身份数据、修改安全策略 [5] - ISE作为企业网络安全核心组件，一旦被攻破将导致整个IT安全架构崩溃 [3] 解决方案 - 受影响版本需立即升级：ISE 3.3需升级至Patch 7，ISE 3.4需升级至Patch 2 [5] - 之前的热补丁无法防护CVE-2025-20337漏洞 [5] 行业响应 - 漏洞由趋势科技和GMO网络安全研究人员通过负责任披露发现 [6] - 目前未发现野外利用证据，但预计会成为攻击者高优先级目标 [7] 企业应对建议 - 立即清点所有ISE和ISE-PIC安装版本 [11] - 将漏洞修补视为紧急安全事件处理 [11] - 加强ISE系统异常活动监控 [11] - 审核并限制对ISE系统的网络访问 [11] 网络安全培训重要性 - 事件凸显持续网络安全教育和专业培训对漏洞管理的必要性 [9] - 企业需要具备快速评估、优先处理和修复漏洞能力的团队 [9] - 网络安全专业人员需掌握网络安全管理、思科培训和漏洞管理知识 [11]