セキュリティ研究者のBobby Gould氏が、Cisco Identity Services Engine(ISE)の認証不要リモートコード実行脆弱性であるCVE-2025-20281に対する完全なエクスプロイトチェーンを実演するブログ記事を公開しました。
この重大な脆弱性は2025年6月25日に初めて公開され、CiscoはISEおよびISE-PICバージョン3.3および3.4が影響を受け、認証されていないリモート攻撃者がターゲットシステムに任意のファイルをアップロードし、root権限で実行できると警告しました。
この問題は、enableStrongSwanTunnel()メソッドにおける安全でないデシリアライズとコマンドインジェクションに起因しています。
3週間後、ベンダーは同じセキュリティ情報にもう1つの脆弱性、CVE-2025-20337を追加しました。これは同じ脆弱性に関連しますが、現在はCVE-2025-20281(コマンドインジェクション)とCVE-2025-20337(デシリアライズ)の2つに分けられています。
以前はホットフィックスが提供されていましたが、Ciscoは両脆弱性に対応するため、3.3 Patch 7および3.4 Patch 2へのアップデートをユーザーに強く推奨しました。
2025年7月22日、CiscoはCVE-2025-20281およびCVE-2025-20337の両方が実際の攻撃で悪用されていると発表し、管理者にできるだけ早くセキュリティアップデートを適用するよう呼びかけました。
十分な時間が経過し、管理者がアップデートを適用できるようになったことから、Gould氏は自身の解説記事を公開し、シリアライズされたJava String[]ペイロードを使ってCisco ISEのコマンドインジェクション脆弱性を引き起こす方法を実演しています。
研究者は、JavaのRuntime.exec()の挙動を悪用し、${IFS}を使って引数のトークナイズ問題を回避することで、Dockerコンテナ内でroot権限による任意コマンド実行を実現しています。
最後に、Gould氏は、cgroupsとrelease_agentに基づく有名なLinuxコンテナエスケープ技術を用いて、特権付きDockerコンテナから脱出し、ホストシステム上でroot権限を取得する方法を示しています。
出典: zerodayinitiative.com
Gould氏の解説記事は、攻撃者がそのまま攻撃チェーンに組み込める武器化されたエクスプロイトスクリプトではありませんが、熟練したハッカーがエクスプロイト全体を再現するのに必要な技術的詳細とペイロード構造がすべて記載されています。
すでに実際の攻撃が進行している場合でも、このエクスプロイトの公開によって悪意のある活動がさらに増加するのは確実です。
この脆弱性には回避策がないため、ベンダーのセキュリティ情報に従ってパッチを適用することが推奨されます。
