Ciscoは、Identity Services Engine (ISE) に影響を与える重大なセキュリティ欠陥に対処するためのセキュリティパッチをリリースしました。この欠陥が成功裏に悪用されると、認証されていない攻撃者が脆弱なシステムで悪意のある行動を実行できる可能性があります。
このセキュリティ欠陥はCVE-2025-20286として追跡されており、CVSSスコアは10.0中9.9です。これは静的なクレデンシャルの脆弱性として説明されています。
「Cisco Identity Services Engine (ISE) のAmazon Web Services (AWS)、Microsoft Azure、およびOracle Cloud Infrastructure (OCI) のクラウド展開における脆弱性により、認証されていないリモート攻撃者が機密データにアクセスしたり、限定的な管理操作を実行したり、システム構成を変更したり、影響を受けたシステム内のサービスを中断させたりする可能性があります」と同社はアドバイザリで述べています。
ネットワーク機器メーカーである同社は、この欠陥を報告したGMOサイバーセキュリティの川根健太郎氏に感謝し、概念実証(PoC)エクスプロイトの存在を認識していますが、野生で悪用された証拠はありません。
Ciscoは、この問題はCisco ISEがクラウドプラットフォーム上に展開される際にクレデンシャルが不適切に生成されるために発生し、ソフトウェアリリースとクラウドプラットフォームが同じである限り、異なる展開が同じクレデンシャルを共有することになると述べています。
言い換えれば、静的なクレデンシャルは各リリースとプラットフォームに特有ですが、プラットフォームを超えて有効ではありません。同社が強調するように、AWS上のCisco ISEリリース3.1のすべてのインスタンスは同じ静的クレデンシャルを持ちます。
しかし、リリース3.1の展開へのアクセスに有効なクレデンシャルは、同じプラットフォーム上のリリース3.2の展開へのアクセスには有効ではありません。さらに、AWS上のリリース3.2は、Azure上のリリース3.2と同じクレデンシャルを持ちません。
脆弱性の成功した悪用は、攻撃者がCisco ISEクラウド展開からユーザークレデンシャルを抽出し、それを使用して他のクラウド環境に展開されたCisco ISEに未保護のポートを通じてアクセスすることを許可する可能性があります。
これにより、最終的には機密データへの不正アクセス、限定的な管理操作の実行、システム構成の変更、またはサービスの中断が可能になる可能性があります。とはいえ、Cisco ISEは、プライマリ管理ノードがクラウドに展開されている場合にのみ影響を受けます。オンプレミスにあるプライマリ管理ノードは影響を受けません。
影響を受けるバージョンは以下の通りです –
- AWS – Cisco ISE 3.1, 3.2, 3.3, および3.4
- Azure – Cisco ISE 3.2, 3.3, および3.4
- OCI – Cisco ISE 3.2, 3.3, および3.4
CVE-2025-20286に対処するための回避策はありませんが、Ciscoはユーザーに対してトラフィックを認証された管理者に制限するか、「application reset-config ise」コマンドを実行してユーザーパスワードを新しい値にリセットすることを推奨しています。ただし、このコマンドを実行すると、Cisco ISEが工場出荷時の設定にリセットされることに注意が必要です。
翻訳元: https://thehackernews.com/2025/06/critical-cisco-ise-auth-bypass-flaw.html