Ciscoは、最近修正されたCisco Identity Services Engine(ISE)の重大なリモートコード実行(RCE)脆弱性3件が、現在実際の攻撃で積極的に悪用されていると警告しています。
ベンダーはどのように悪用されているかや、攻撃が成功しているかについては明らかにしていませんが、できるだけ早くセキュリティアップデートを適用することが重要です。
「2025年7月、Cisco PSIRTはこれらの脆弱性の一部が実際に悪用されようとしていることを認識しました」と更新されたアドバイザリに記載されています。
「Ciscoは引き続き、お客様に対し、これらの脆弱性を修正するために修正版ソフトウェアへのアップグレードを強く推奨します。」
Cisco Identity Services Engine(ISE)は、大規模組織がネットワークアクセスを制御し、セキュリティポリシーを適用できるプラットフォームです。
最大深刻度の脆弱性は、ベンダーによって2025年6月25日(CVE-2025-20281およびCVE-2025-20282)、および2025年7月16日(CVE-2025-20337)に初めて公開されました。
以下は脆弱性の簡単な説明です:
CVE-2025-20281:Cisco Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)に存在する、認証不要の重大なリモートコード実行脆弱性。攻撃者は細工したAPIリクエストを送信することで、認証なしで基盤となるOS上でroot権限の任意コマンドを実行できます。ISE 3.3 Patch 7および3.4 Patch 2で修正済み。
CVE-2025-20282: Cisco ISEおよびISE-PIC Release 3.4に存在する、認証不要の重大な任意ファイルアップロードおよび実行脆弱性。ファイル検証の欠如により、攻撃者は特権ディレクトリに悪意あるファイルをアップロードし、root権限で実行できます。ISE 3.4 Patch 2で修正済み。
CVE-2025-20337: Cisco ISEおよびISE-PICに影響する、認証不要の重大なリモートコード実行脆弱性。不十分な入力検証により、特別に細工されたAPIリクエストを介して攻撃者が認証情報なしでroot権限を取得できます。ISE 3.3 Patch 7および3.4 Patch 2で修正済み。
これら3件はいずれも最大深刻度(CVSSスコア:10.0)に評価されており、認証不要でリモートから悪用可能なため、企業ネットワークへの足掛かりを狙うハッカーにとって魅力的な標的となっています。
Ciscoは、発見時期の違いからこれら3件の脆弱性に対して2つの異なるホットパッチを以前リリースしています。すべてを一度に緩和するため、管理者は以下の対応を推奨されています:
- ISE 3.3ユーザーはPatch 7にアップグレードする必要があります
- ISE 3.4ユーザーはPatch 2にアップグレードする必要があります
ISE 3.2以前を利用している場合は影響を受けず、対応は不要です。
これら3件の脆弱性に対する回避策はなく、アップデートの適用が唯一推奨される対応策です。
CISOが実際に使うボードレポートデッキ
CISOは、取締役会の賛同を得るには、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことが重要だと知っています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先順位をビジネスの観点で分かりやすく提示するのに役立ちます。セキュリティアップデートを意味のある会話や迅速な意思決定につなげましょう。