コンテンツにスキップするには Enter キーを押してください

Cisco、ISEにおける新たな重大なRCE脆弱性を警告、即時のパッチ適用を促す

投稿日 2025年7月18日

新たに公開された脆弱性は、認証されていないRCEをroot権限で許す、入力検証が不十分な特定のAPIに影響します。

Ciscoは、Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)における、認証不要のリモートコード実行(RCE)脆弱性について、最大深刻度のアドバイザリを新たに公開しました。

ネットワーク機器大手の同社は、この脆弱性が先月修正した重大なバグと非常によく似ており、公開APIにおける入力検証の不十分さに起因すると警告しています。

「Ciscoによるこの脆弱性の公開は、APIが公開されたインフラにおける憂慮すべき傾向、すなわち入力検証の不十分さによる認証不要のリモートコード実行を浮き彫りにしています」と、Cequence Securityの最高情報セキュリティ責任者であるランドルフ・バー氏は述べています。「CVSSスコアが10ということは、これは最悪のケースです。攻撃者は認証情報やユーザー操作なしに、リモートでroot権限を取得できます。」

Ciscoは管理者に対し、この脆弱性を同じIAM製品に影響する別の最大深刻度バグであるCVE-2025-20281とは別物として扱い、今回リリースした専用パッチを適用するよう促しています

細工されたリクエストによるrootレベルAPI RCE

この脆弱性はCVE-2025-20337として追跡されており、ISEおよびISE-PICのバージョン3.3および3.4(ただし3.2以前は対象外)に影響し、攻撃者は認証情報なしでroot権限でコマンドや悪意のあるファイルを実行できます。

Ciscoのアドバイザリによると、Cisco ISEおよびCisco ISE PICの特定のAPI(CVE-2025-20281でも影響を受けたもの)におけるリクエストの不完全なサニタイズ処理により、認証されていないリモートの攻撃者が、基盤となるオペレーティングシステム上でroot権限による任意のコードを実行できる可能性があります。

バー氏は、生成AIの台頭により、この脆弱性が一層懸念されると考えています。

「2025年に特に懸念されるのは、生成AIが悪用の民主化に果たす役割です」と同氏は述べています。「技術的な知識がほとんどない攻撃者でも、AIを使って公開されているCisco ISEシステムを特定し、悪意のあるAPIリクエストを作成し、標的型攻撃を実行できるようになり、脅威の露出期間が大幅に短縮されます。」

このバグは、Cisco ISEリリース3.4パッチ2およびリリース3.3パッチ7で修正されています。Ciscoは回避策はなく、修正版へのアップデートのみが唯一の対策であると述べています。

同社はまた、CVE-2025-20281への対応としてインストールされたホットパッチ「ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz」および「ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz」では、CVE-2025-20337には対処できておらず、顧客は専用の修正版リリースへアップデートする必要があると警告しています。

より迅速なパッチ適用が必要

バー氏は、N-day攻撃の発見におけるこの脆弱性を懸念しています。「Ciscoが公開を透明に行い、迅速にパッチをリリースしているのは良いことですが、こうした種類の脆弱性のパッチ適用は、特に大規模で分散した企業環境では即座に完了するものではありません」と同氏は述べています。「再起動の必要性や高可用性構成への依存が、完全な対策の遅れにつながることがよくあります。」

また、AIによる現代的なエクスプロイト開発のスピードと容易さも懸念すべきだと付け加えています。

Sectigoのシニアフェローであるジェイソン・ソロコ氏は、潜在的な攻撃の影響範囲の広さをより懸念しています。「ISEは多くのキャンパスネットワークにおいて信頼の最前線に位置しており、侵害されればアクセス制御ポリシーが書き換えられたり、エンドポイントがVLAN間で移動されたり、あらゆるセグメントへのピボットが可能になります」と同氏は述べています。「脆弱なAPIは、広範な内部アドレス範囲から、時にはゲストWi-Fiからも到達可能であり、ISEのパッチ適用には大規模なメンテナンスウィンドウが必要です。」

ソロコ氏は、これらの脆弱性(CVE-2025-20281)がすでに公開された概念実証エクスプロイトやスキャン活動を数日以内に引き付けていることから、積極的な標的化が起こる可能性が高いと付け加えています。

追加の防御策として、バー氏は、異常なAPIアクティビティをリアルタイムで検知・ブロックし、エンドポイントリスクスコアリングを提供し、自動化されたスキャンやペイロード配信を阻止できる、専門的なAPIセキュリティソリューションの利用を推奨しています。

Ciscoはこの1か月、最大深刻度のバグが相次ぎ、忙しい日々を送っています。今月初めには、同社の通信機器における別のrootアクセス問題にもパッチを適用しましたが、こちらはDevOpsが内部利用のためにハードコードされた認証情報を密かに保存していたことによる自社起因のものでした。

ニュースレターに登録する

編集部からあなたの受信箱へ直送

下記にメールアドレスを入力して開始してください。

翻訳元: https://www.csoonline.com/article/4024887/cisco-warns-of-another-critical-rce-flaw-in-ise-urges-immediate-patching.html

Published in csoonline-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です