出典:Hermin Utomo(Alamy Stock Photo経由)
ネットワークベンダーのCiscoは今週、同社のセキュリティポリシー製品の1つに、最も高い深刻度評価が付与された重大な脆弱性が存在することを公表しました。
CVE-2025-20337は、CiscoのIdentity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)製品に存在する脆弱性であり、同社はセキュリティアドバイザリで「認証されていないリモートの攻撃者が、rootユーザーとして基盤となるオペレーティングシステム上でコマンドを実行できる可能性がある」と説明しています。CVSSスコアは10で、これは最も緊急度が高いとされています。
Cisco ISEは、ネットワーク大手のセキュリティポリシー管理プラットフォームであり、ISE-PICは複数の認証データソースを統合するための関連ツールです。
CVE-2025-20337は、先月末に公開された同様に最も高い深刻度の脆弱性であるCVE-2025-20281およびCVE-2025-20282に加わります。これら3つは、細部に若干の違いはあるものの、同様の内容として説明されています。
ISEの脆弱性:新旧
新たに公開されたCVE-2025-20337およびCVE-2025-20281では、「特定のAPI」がこの脆弱性を引き起こし、攻撃者が有効な認証情報を持っている必要はありません。
「これらの脆弱性は、ユーザーから提供された入力値の検証が不十分なことが原因です。攻撃者は細工されたAPIリクエストを送信することで、これらの脆弱性を悪用できる可能性があります」とCiscoは述べています。
CVE-2025-20282の場合、ISEおよびISE-PICの内部APIの欠陥により、「認証されていないリモートの攻撃者が、影響を受けるデバイスに任意のファイルをアップロードし、その後、基盤となるオペレーティングシステム上でrootとしてそれらのファイルを実行できる可能性がある」とアドバイザリには記載されています。Ciscoは、このバグの原因について「アップロードされたファイルが影響を受けるシステム上の特権ディレクトリに配置されるのを防ぐファイル検証チェックが不足しているため」と説明しています。
これら3つの脆弱性は互いに独立して悪用可能であり、いずれかが他の脆弱性の動作を必要とすることはありません。
これら3つすべてに対応するアップデートはすでに提供されています。Cisco ISEおよびISE-PIC 3.2はこれらの問題の影響を受けないため、同社は3.3の顧客に対しては3.3 Patch 7へのアップグレード、3.4の顧客にはバージョン3.4 Patch 2へのアップグレードを推奨しています。
ただし、新たに公開された脆弱性のため、以前適用したホットパッチではもはや十分ではない可能性があります。
「Cisco ISEにise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gzまたはise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gzのいずれかのホットパッチがインストールされている場合、Ciscoはリリース3.3 Patch 7またはリリース3.4 Patch 2へのアップグレードを推奨します」とCiscoは述べています。「これらのホットパッチはCVE-2025-20337には対応しておらず、CCOからも除外されています。」
Ciscoは、CVE-2025-20337の発見について、GMOサイバーセキュリティ byイエラエの川根健太郎氏と、トレンドマイクロのZero Day Initiativeの協力によるものとしています。
悪用状況と悪用可能性
Ciscoはアドバイザリの中で、同社のプロダクトセキュリティインシデント対応チーム(PSIRT)は、これら3つの脆弱性を利用した脅威活動を現時点では把握していないと述べています。CiscoはDark Readingからの追加コメント要請には回答していません。
証明書ライフサイクル管理ベンダーSectigoのシニアフェロー、ジェイソン・ソロコ氏はDark Readingに対し、CVE-2025-20337は「完璧なCVSSスコアに値する」と述べています。
「ISEは多くのキャンパスネットワークにおいて信頼の最前線に位置しており、侵害されればアクセス制御ポリシーの書き換え、エンドポイントのVLAN間移動、あらゆるセグメントへのピボットが可能になります。脆弱なAPIは広範な内部アドレス範囲、時にはゲストWi-Fiからも到達可能であり、ISEのパッチ適用には業務を中断するメンテナンスウィンドウが必要です」と彼は述べています。「その結果、現実的な露出ウィンドウはスコアの背後にある最悪のシナリオそのものであり、スコアを水増ししているわけではありません。」
ソロコ氏はさらに、Ciscoがまだ脅威活動を特定していないものの、「パブリックな概念実証エクスプロイトやスキャンのトラフィックが存在するため、積極的な標的化が起きる可能性が高い」と述べています。
APIセキュリティプロバイダーCequence Securityの最高情報セキュリティ責任者(CISO)であるランドルフ・バー氏は、CVE-2025-20337の悪用可能性は、先月他の2つの脆弱性が公開されて以降に顧客が導入した多層的なセキュリティコントロールに一部依存するとDark Readingに語っています。
「多くの企業のセキュリティプログラムは、現時点で自社環境の露出状況を評価している可能性が高い」とバー氏は述べています。「もし評価していないのであれば、すべきです。」