Cisco ISEの脆弱性により機密データへのアクセスが可能に

Ciscoは、Cisco Identity Services Engine（ISE）およびCisco ISE Passive Identity Connector（ISE-PIC）における新たなXML外部実体（XXE）脆弱性を公開しました。この脆弱性により、管理者権限を持つ認証済み攻撃者が、基盤となるオペレーティングシステムから機密データを読み取れる可能性があります。

この脆弱性はCVE-2026-20029として追跡され、CVSS 4.9（中程度）と評価されていますが、ISEが中央のポリシーおよびアイデンティティ制御プレーンとして機能する環境では影響が大きくなります。

アドバイザリcisco-sa-ise-xxe-jWSbSDKtによると、この問題はWebベースの管理インターフェースを通じて公開されているライセンス機能内でのXMLの不適切な解析に起因します。

有効な管理者認証情報を持つ攻撃者は、XML解析を悪用してホストOS上の任意のファイルを読み取る悪意のあるファイルをアップロードできます。

重大なのは、Ciscoが、これにより正当な管理者であってもアクセスできるべきではないデータが露出する可能性があると指摘している点で、一般的な設定情報の漏えいを超えてリスクが高まります。

悪用には認証済みの管理者アクセスが必要なため、この脆弱性単体で外部からの未認証侵害を可能にするものではありません。

しかし実運用では、ISEおよびISE-PICは、アイデンティティストア、ネットワークアクセス制御、監視システムと統合された高価値のインフラコンポーネントとして動作していることが多いです。

攻撃者がすでに管理者認証情報を入手している場合（たとえばフィッシング、クレデンシャルスタッフィング、またはラテラルムーブメントによって）、このバグにより、アプライアンス上に存在する設定データ、ログ、その他保存されたシークレットなどの機密ファイルを収集するための直接的な経路が与えられます。

Ciscoは、修正ビルドより前のすべてのサポート対象Cisco ISEおよびISE-PICリリースが、設定に関係なく影響を受けることを確認しています。

Cisco ISEの脆弱性

修正済みリリースが提供されており、Ciscoは、回避策が存在しないため、いかなる緩和策に頼るのではなくアップグレードすることを強く推奨しています。

Cisco Product Security Incident Response Team（PSIRT）は、CVE-2026-20029の概念実証（PoC）エクスプロイトコードがすでに公開されていると報告しています。

Ciscoは現時点で実環境における悪意ある能動的な悪用を把握していないものの、PoCコードの存在は脅威アクターにとっての障壁を大幅に下げ、防御側が迅速に対応する緊急性を高めます。

セキュリティチームは、公開されたISE管理インターフェースに対する偵察やテストが、開示後まもなく行われる可能性があると想定すべきです。

この脆弱性を封じ込めるための公開された回避策や、設定のみでの緩和策はありません。組織は機能の切り替えや部分的なハードニングに依存して露出を解消することはできず、完全な修復には修正済みソフトウェアリリースへのアップグレードが必要です。

それまでの間、運用者はISEおよびISE-PICへの管理者アクセスを厳格に制限・監視し、管理インターフェースが信頼できないネットワークに公開されていないことを確認し、認証、MFAの強制、およびISE管理者アカウントに関するログ記録を見直すべきです。

この脆弱性はCisco Bug ID CSCwq79739に関連付けられており、CWE-611（XML外部実体参照の不適切な制限）に分類されます。これは、XMLパーサーが適切にハードニングされていない場合、重要インフラプラットフォーム上でデータ流出の強力な手段になり得ることを改めて示しています。

Ciscoは、この脆弱性の報告者としてTrend MicroのZero Day InitiativeのBobby Gould氏に謝意を示しています。

多くの企業のアクセス制御アーキテクチャにおいてISEが中核を担っていることを踏まえ、組織はパッチ適用スケジュールを優先し、Ciscoの修正済みリリースマトリクスに照らして現在のISEバージョンを検証し、この新たな機密データ露出経路を排除するために直ちにアップグレードを計画することが求められます。