シスコは、管理者権限を持つ攻撃者に悪用され得る、公開された概念実証(PoC)エクスプロイトコードが存在する同社のIdentity Services Engine(ISE)ネットワークアクセス制御ソリューションの脆弱性を修正しました。
企業の管理者はCisco ISEを使用して、ゼロトラストアーキテクチャを適用しながら、ネットワークリソースへのエンドポイント、ユーザー、デバイスのアクセスを管理します。
このセキュリティ上の欠陥(CVE-2026-20029)は、デバイス構成に関係なくCisco Identity Services Engine(ISE)およびCisco ISE Passive Identity Connector(ISE-PIC)に影響し、高い権限を持つリモート攻撃者が未修正のデバイス上の機密情報にアクセスするために悪用できる可能性があります。
「この脆弱性は、Cisco ISEおよびCisco ISE-PICのWebベース管理インターフェースで処理されるXMLの不適切な解析に起因します。攻撃者は、アプリケーションに悪意のあるファイルをアップロードすることでこの脆弱性を悪用する可能性があります」と、シスコは述べています。
「悪用に成功すると、攻撃者は基盤となるオペレーティングシステムから任意のファイルを読み取れる可能性があり、そこには本来、管理者であってもアクセスできないはずの機密データが含まれる場合があります。この脆弱性を悪用するには、攻撃者が有効な管理者認証情報を持っている必要があります。」
Cisco製品セキュリティインシデント対応チーム(PSIRT)は、実際に悪用されている証拠は見つからなかったものの、概念実証(PoC)エクスプロイトがオンラインで入手可能であると警告しました。
シスコは「回避策および緩和策(該当する場合)は一時的な解決策に過ぎない」とし、「将来的な露出を避け」、この脆弱性に完全に対処するために「修正済みソフトウェアへアップグレードすることを強く推奨する」と述べました。
| Cisco ISEまたはISE-PICのリリース | 最初の修正済みリリース |
|---|---|
| 3.2より前 | 修正済みリリースへ移行してください。 |
| 3.2 | 3.2 パッチ 8 |
| 3.3 | 3.3 パッチ 8 |
| 3.4 | 3.4 パッチ 4 |
| 3.5 | 脆弱性の影響はありません。 |
水曜日、シスコはまた、未認証のリモート攻撃者がSnort 3検知エンジンを再起動してサービス拒否を引き起こしたり、Snortのデータストリーム内の機密情報を取得したりできる複数のIOS XEの脆弱性についても対処しました。しかし、Cisco PSIRTは公開されているエクスプロイトコードを確認しておらず、実環境で脅威アクターが悪用している兆候も見つかっていません。
11月には、Amazonの脅威インテリジェンスチームが、ハッカーが最大深刻度のCisco ISEゼロデイ(CVE-2025-20337)を悪用してカスタムマルウェアを展開したと警告しました。7月に修正した際、シスコはCVE-2025-20337が悪用されると、未認証の攻撃者が任意のコードを実行したり、脆弱なデバイスでroot権限を取得したりできる可能性があると警告しました。
その後2週間にわたり、シスコは勧告を更新して、CVE-2025-20337が活発に悪用されていると警告し、(この欠陥を報告した)研究者Bobby Gouldが概念実証エクスプロイトコードを公開しました。
シスコはまた12月に、UAT-9686として追跡されている中国の脅威グループが、Secure Email and Web Manager(SEWM)およびSecure Email Gateway(SEG)アプライアンスを標的とした攻撃で、まだパッチ待ちの最大深刻度のCisco AsyncOSゼロデイ(CVE-2025-20393)を悪用していると顧客に警告しました。
CVE-2025-20393のセキュリティ更新がリリースされるまで、シスコは顧客に対し、信頼できるホストへの接続に制限する、インターネットアクセスを制限する、ファイアウォールの背後に配置してトラフィックをフィルタリングするなどして、脆弱なアプライアンスへのアクセスを保護・制限するよう助言しています。
