2025年7月22日Ravie Lakshmananネットワークセキュリティ / 脆弱性
Ciscoは月曜日、Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)に最近公開された一連のセキュリティ脆弱性に関するアドバイザリを更新し、アクティブな悪用が確認されたことを認めました。
「2025年7月、Cisco PSIRT(製品セキュリティインシデント対応チーム)は、これらの脆弱性のいくつかが実際に悪用されていることを確認しました」と同社は警告で述べています。
ネットワーク機器ベンダーである同社は、実際の攻撃でどの脆弱性が武器化されたのか、悪用している脅威アクターの身元や活動の規模については明らかにしていません。
Cisco ISEはネットワークアクセス制御の中核を担い、どのユーザーやデバイスが企業ネットワークにどのような条件でアクセスできるかを管理しています。このレイヤーが侵害されると、攻撃者は認証制御やログ記録機構を回避して内部システムへ無制限にアクセスできるようになり、ポリシーエンジンが“開かれた扉”となってしまいます。
警告で指摘された脆弱性はすべて重大度が「クリティカル」(CVSSスコア:10.0)であり、認証されていないリモートの攻撃者が、基盤となるオペレーティングシステム上でrootユーザーとしてコマンドを発行できる可能性があります。
- CVE-2025-20281 および CVE-2025-20337 – 特定のAPIに存在する複数の脆弱性により、認証されていないリモートの攻撃者が、基盤となるオペレーティングシステム上でroot権限で任意のコードを実行できる可能性があります。
- CVE-2025-20282 – 内部APIの脆弱性により、認証されていないリモートの攻撃者が、影響を受けるデバイスに任意のファイルをアップロードし、そのファイルを基盤となるオペレーティングシステム上でroot権限で実行できる可能性があります。
最初の2つの脆弱性は、ユーザーから提供された入力の検証が不十分であることに起因し、後者はアップロードされたファイルが影響を受けるシステム上の特権ディレクトリに配置されるのを防ぐファイル検証チェックが欠如していることに起因しています。
その結果、攻撃者は細工したAPIリクエスト(CVE-2025-20281およびCVE-2025-20337の場合)を送信したり、細工したファイルを影響を受けるデバイスにアップロードしたり(CVE-2025-20282の場合)することで、これらの不備を悪用できる可能性があります。
アクティブな悪用が確認されていることから、顧客はできるだけ早く修正版ソフトウェアへアップグレードし、これらの脆弱性を修正することが不可欠です。これらの脆弱性は認証不要でリモートから悪用可能であり、未修正のシステムは認証前のリモートコード実行リスクが非常に高くなります。これは、重要インフラやコンプライアンス重視の環境を管理する防御担当者にとって最重要課題です。
セキュリティチームは、特に外部に公開されている環境において、不審なAPIアクティビティや不正なファイルアップロードがないか、システムログを確認することも推奨されます。
翻訳元: https://thehackernews.com/2025/07/cisco-confirms-active-exploits.html