Ciscoは、Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)に存在する2件の重大な脆弱性を公開しました。リモートの攻撃者がこれらの欠陥を悪用し、任意のコードを実行したり機密情報を窃取したりする可能性があるとして警告しています。
2026年6月17日に公開されたアドバイザリでは、CVSSベーススコアの最大値9.1が付与されており、デバイスの設定に関わらず幅広い環境が影響を受けます。
Cisco Identity Services Engineは、企業や政府機関で広く導入されているネットワークアクセス制御(NAC)プラットフォームです。セキュリティポリシーの適用、エンドポイントのコンプライアンス管理、企業ネットワーク全体にわたるユーザー認証などの用途に使用されています。
ISEが侵害された場合、攻撃者はネットワークインフラ全体への侵入口を手にすることになります。
2件のうち深刻度が高い方の脆弱性、CVE-2026-20181(バグID: CSCwt22913)は、ISE Webインターフェースにおけるユーザー入力の検証が不十分であることに起因しています。
有効な管理者権限を持つ認証済みのリモート攻撃者が、特別に細工したHTTPリクエストを送信することで、基盤となるオペレーティングシステム上で任意のコマンドを実行し、最終的にはroot権限への昇格が可能になります。
シングルノード構成の場合、悪用に成功するとISEノードが完全に利用不能となり、サービス拒否(DoS)状態を引き起こす可能性もあります。
これにより、まだ認証を行っていないエンドポイントはノードが復旧するまでネットワークアクセスを完全に失うことになります。ネットワーク分離やゼロトラスト実施にISEを活用している企業にとって、深刻な運用上の影響が生じる可能性があります。
この脆弱性はCWE-22(パストラバーサル)に分類され、CVSSベクター CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H が付与されており、機密性・完全性・可用性のいずれにおいても高い影響度を示しています。
2件目の脆弱性CVE-2026-20190(バグID: CSCwt22936)は、不適切な認可チェック(CWE-285)を悪用することで、認証されていないリモート攻撃者が機密データにアクセスできてしまうものです。
影響を受けるデバイスに対して細工したトラフィックを送信することで、攻撃者はハッシュ化された認証情報を含む機密情報を取得できます。取得した情報は、クレデンシャルスタッフィング攻撃や横方向移動攻撃に悪用される恐れがあります。
この脆弱性はISEおよびISE-PICのリリース3.4以降に影響し、CVSSベクターは CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N です。
Ciscoは、ISE 3.5向けのホットパッチをCisco Technical Assistance Center(TAC)へのリクエストにより提供すると説明しています。なお、ISE-PICはすでに販売終了となっており、リリース3.4が最後のサポートバージョンです。
Ciscoは明示的に、いずれの脆弱性に対してもワークアラウンドは存在しないと述べています。組織は、露出リスクを完全に排除するため、該当するパッチを直ちに適用する必要があります。Cisco PSIRTは現時点では、野放しでの悪用や一般公開されたProof-of-Conceptコードの存在を把握していないとしています。
CVE-2026-20181は、TrendAI ResearchのJonathan Lein氏、およびSTAR Labs SG Pte. Ltd.のLi Jiantao氏とTevel Sho氏によって独立して報告されました。CVE-2026-20190は、TrendAI Zero Day InitiativeのBobby Gould氏によって報告されています。
企業・政府環境でCisco ISEを運用しているセキュリティチームは、パッチの適用を優先して対応する必要があります。特に、情報漏えいの脆弱性が認証不要で悪用可能である点と、RCE脆弱性によってroot権限へのアクセスが可能となる点を踏まえ、早急な対処が求められます。
翻訳元: https://cyberpress.org/critical-cisco-ise-vulnerability/