米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、7月28日付で新たに3件の脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加しました。
これには、Cisco Identity Services Engine(ISE)ソフトウェアに存在する2件の非常に重大な脆弱性が含まれています。ISEは、企業ネットワークに接続するユーザーやデバイスに対し、安全なアクセス制御、認証、認可、アカウンティング(AAA)サービスを提供するネットワークセキュリティポリシー管理プラットフォームです。
これら2件の脆弱性(CVE-2025-20281およびCVE-2025-20337)は、Trend Micro Zero Day Initiativeと連携するセキュリティ研究者によって発見され、6月25日にCiscoによって公開されました。
これらは、Cisco ISEおよびCisco ISE Passive Identity Connector(ISE-PIC)の特定のAPIにおいて、ユーザーから提供された入力の検証が不十分であることが原因で特定されました。
攻撃者は、細工されたAPIリクエストを送信することでそれぞれの脆弱性を悪用できます。悪用されると、認証されていないリモートの攻撃者が、基盤となるオペレーティングシステム上でroot権限で任意のコードを実行できるようになります。これにより、攻撃者は影響を受けるデバイスでroot権限を取得する可能性があります。
両方の脆弱性は、以下のCisco ISEのバージョンに影響します:
- 3.3.0
- 3.3 Patch 2
- 3.3 Patch 1
- 3.3 Patch 3
- 3.4.0
- 3.3 Patch 4
- 3.4 Patch 1
- 3.3 Patch 5
- 3.3 Patch 6
さらに、CVE-2025-20337はCisco ISE-PICのバージョン3.1.0、3.2.0、3.3.0、および3.4.0にも影響します。
これらはどちらも最も高い深刻度レベルに評価されており、CVSS3.1スコアは10です。
Ciscoは、影響を受ける各バージョンのCisco ISEおよびCisco ISE-PIC向けにパッチをリリースしています。
Ciscoプロダクトセキュリティインシデント対応チーム(PSIRT)は、両脆弱性の悪用が実際に試みられていることを把握しています。
CISAは、8月18日を修正の期限に設定し、組織に対して今後3週間以内にこれらの重大なセキュリティ脆弱性へ対応することを求めています。パッチの適用以外に回避策はありません。
7月28日にCISAのKEVリストに追加された3つ目の脆弱性(CVE-2023-2533)は、PaperCut Next Generation(NG)およびMulti-Function(MF)に影響する高深刻度のクロスサイトリクエストフォージェリ(CSRF)脆弱性です。これらは、組織がネットワーク全体で印刷、コピー、スキャン、FAXの管理・監視・最適化を行うためのプリント管理ソフトウェアソリューションです。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-kev-cisco-ise/