Ciscoは、同社のIdentity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)製品に存在し、管理者レベルの権限を持つリモート攻撃者が機密情報にアクセスできるバグを修正し、この欠陥に対する公開の概念実証(PoC)エクスプロイトがオンライン上に存在すると警告した。
ISEはCiscoのネットワークアクセス制御およびセキュリティポリシーのプラットフォームで、企業はこれを用いてユーザーやデバイス全体にわたるセキュリティポリシーを集中管理し、適用している。
CVE-2026-20029として追跡されているこのバグは、中程度の深刻度でCVSSスコア4.9と評価されており、デバイス構成に関係なくISEおよびISE-PICに影響する。ISEおよびISE-PICのWebベース管理インターフェースで処理されるXMLの不適切な解析が原因だ。
水曜日のセキュリティアドバイザリによれば、「攻撃者は、悪意のあるファイルをアプリケーションにアップロードすることでこの脆弱性を悪用できる」という。「悪用に成功すると、攻撃者は基盤となるオペレーティングシステムから任意のファイルを読み取れる可能性があり、その中には、本来は管理者であってもアクセスできないはずの機密データが含まれる場合がある。」
Ciscoは、この脆弱性を発見して報告した人物として、Trend Micro Zero Day InitiativeのバグハンターであるBobby Gouldに謝意を示した。
ZDIの脅威認知責任者Dustin ChildsはThe Registerに対し、「この脆弱性は認証が必要なので、それが悪用に対する最初の障壁だ」と述べ、さらにZDIは高い権限が必要であることから、この欠陥が広範に悪用されるとは見込んでいないと付け加えた。
しかし、攻撃者が管理者資格情報を盗む、または別の方法で入手したと仮定すれば、「影響を受けるシステム上のファイル内容を漏えいさせる可能性がある」とChildsは付け加えた。
良いニュースとしては、現時点ではCiscoとZDIはいずれも、このCVEが実環境で悪用されている事例を把握していないという。
しかし、バグの悪用方法の青写真を提供するPoCが存在することを考えると、CVE-2026-20029の悪用状況はまもなく変わると推測される――だから今すぐパッチを当てよう。
PoCを公開したのが誰なのかは不明で、ChildsはそれがZDIではないと私たちに語った。「このバグのPoCは公開しておらず、公開する予定もない」と彼は述べた。「公開PoCがどこで公開されたのかは把握していない。」
ネットワーク機器は政府支援の攻撃者に長年好まれてきた標的であり、特に中国由来の攻撃者がそうであることを踏まえると、企業はこの修正の実装を優先すべきだ。つまり、こうした穴を長く放置すべきではない。
11月には、Amazonが警告し、「高度な」攻撃者が最大深刻度のISEのバグ(CVE-2025-20337)をゼロデイとして悪用し、カスタムマルウェアを展開したと述べた。
7月には、研究者らが、犯人たちが別のCVSS評価10点満点のISEの欠陥(CVE-2025-20281)を悪用していたと警告し、Ciscoは実環境での活動を認め、顧客にパッチ適用を促した。
ネットワーク大手は当初、同じISE製品における複数の最大深刻度の欠陥を扱った6月のセキュリティアドバイザリでCVE-2025-20281を開示し、その後、悪用が明らかになるにつれてこの告知を更新した。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/08/rcisco_ise_bug_poc/
