2025年7月17日Ravie Lakshmanan脆弱性 / ネットワークセキュリティ
Ciscoは、Identity Services Engine(ISE)およびCisco ISE Passive Identity Connector(ISE-PIC)に影響を与える、最大深刻度の新たなセキュリティ脆弱性を公表しました。この脆弱性により、攻撃者が基盤となるオペレーティングシステム上で特権を昇格させて任意のコードを実行できる可能性があります。
CVE-2025-20337として追跡されているこの脆弱性は、CVSSスコア10.0を持ち、ネットワーク機器大手が先月末に修正したCVE-2025-20281と類似しています。
「Cisco ISEおよびCisco ISE-PICの特定のAPIにおける複数の脆弱性により、認証されていないリモートの攻撃者が基盤となるオペレーティングシステム上でroot権限で任意のコードを実行できる可能性があります。攻撃者は、これらの脆弱性を悪用するために有効な認証情報を必要としません」と同社は更新されたアドバイザリで述べています。
「これらの脆弱性は、ユーザーから提供された入力の検証が不十分であることが原因です。攻撃者は細工されたAPIリクエストを送信することでこれらの脆弱性を悪用できます。悪用に成功すると、攻撃者は影響を受けるデバイスでroot権限を取得できる可能性があります。」
GMOサイバーセキュリティの河根健太郎氏が、この脆弱性の発見および報告に貢献したとされています。河根氏は以前にも、2件の重大なCisco ISEの脆弱性(CVE-2025-20286およびCVE-2025-20282)およびFortinet FortiWebの別の重大なバグ(CVE-2025-25257)で評価されています。
CVE-2025-20337は、ISEおよびISE-PICリリース3.3および3.4に影響し、デバイスの設定に関係なく影響します。ISEおよびISE-PICリリース3.2以前には影響しません。この問題は以下のバージョンで修正されています。
- Cisco ISEまたはISE-PIC リリース3.3(3.3パッチ7で修正)
- Cisco ISEまたはISE-PIC リリース3.4(3.4パッチ2で修正)
現時点で、この脆弱性が悪意のある目的で悪用された証拠はありません。とはいえ、潜在的な脅威を回避するためにも、システムを常に最新の状態に保つことが重要です。
この公表は、The Shadowserver Foundationが報告した、攻撃者がCVE-2025-25257に関連する公開されたエクスプロイトを悪用し、2025年7月11日以降、脆弱なFortinet FortiWebインスタンスにウェブシェルを設置している可能性が高いというタイミングで発表されました。
7月15日時点で、推定77件の感染インスタンスが確認されており、前日(85件)から減少しています。大半の侵害は北米(44件)、アジア(14件)、ヨーロッパ(13件)に集中しています。
攻撃対象領域管理プラットフォームCensysのデータによると、ハニーポットを除き、20,098台のFortinet FortiWebアプライアンスがオンライン状態ですが、これらのうちどれだけがCVE-2025-25257に脆弱かは現時点で不明です。
「この脆弱性により、認証されていない攻撃者が細工されたHTTPリクエストを介して任意のSQLコマンドを実行し、リモートコード実行(RCE)につながる可能性があります」とCensysは述べています。
翻訳元: https://thehackernews.com/2025/07/cisco-warns-of-critical-ise-flaw.html