Cisco、Identity Services Engineの最大深刻度RCE脆弱性を警告

Ciscoは、Cisco Identity Services Engine（ISE）およびPassive Identity Connector（ISE-PIC）に影響を与える、認証不要の重大なリモートコード実行（RCE）脆弱性2件について警告するための通知を公開しました。

これらの脆弱性は、CVE-2025-20281およびCVE-2025-20282として追跡されており、最大深刻度（CVSSスコア：10.0）と評価されています。最初の脆弱性はISEおよびISE-PICのバージョン3.4および3.3に影響し、2つ目はバージョン3.4のみに影響します。

CVE-2025-20281の根本原因は、特定の公開APIにおけるユーザー入力の検証が不十分であることです。これにより、認証されていないリモートの攻撃者が特別に細工したAPIリクエストを送信し、rootユーザーとして任意のOSコマンドを実行することが可能となります。

2つ目の問題であるCVE-2025-20282は、内部APIにおけるファイル検証の不備が原因で、特権ディレクトリへのファイル書き込みが可能となります。この脆弱性により、認証されていないリモートの攻撃者が任意のファイルをターゲットシステムにアップロードし、root権限で実行することができます。

Cisco Identity Services Engine（ISE）は、組織がネットワーク接続を管理するために使用するネットワークセキュリティポリシー管理およびアクセス制御プラットフォームであり、ネットワークアクセス制御（NAC）、アイデンティティ管理、ポリシー施行ツールとして機能します。

この製品は通常、大企業、政府機関、大学、サービスプロバイダーによって使用され、エンタープライズネットワークの中核を担っています。

これら2つの脆弱性は、認証やユーザー操作なしでターゲットデバイスの完全な侵害およびリモート乗っ取りを可能にする恐れがあります。

Ciscoは通知の中で、現時点でこれら2つの脆弱性が積極的に悪用されている事例は把握していないと述べていますが、新しいアップデートの適用を優先するよう推奨しています。

ユーザーは、3.3 Patch 6（ise-apply-CSCwo99449_3.3.0.430_patch4）および3.4 Patch 2（ise-apply-CSCwo99449_3.4.0.608_patch1）以降へのアップグレードが推奨されています。脆弱性を緩和するための回避策は提供されていないため、セキュリティアップデートの適用が推奨される解決策です。

Ciscoはまた、別の通知で、中程度の深刻度の認証バイパス脆弱性（CVE-2025-20264）についても公表しており、これもISEに影響を与えます。

この脆弱性は、外部アイデンティティプロバイダーとSAML SSO統合を通じて作成されたユーザーに対する認可の強制が不十分なことが原因です。有効なSSO認証済み資格情報を持つ攻撃者が、特定のコマンドシーケンスを送信することで、システム設定の変更やシステムの再起動を実行できてしまいます。

CVE-2025-20264は、3.4ブランチまでのすべてのISEバージョンに影響します。修正は3.4 Patch 2および3.3 Patch 5で提供されています。ベンダーは、3.2 Patch 8（2025年11月リリース予定）で3.2向けの修正も約束しています。

ISE 3.1以前も影響を受けますが、これらはすでにサポート対象外となっており、ユーザーには新しいリリースブランチへの移行が推奨されています。