TokyoBlackHatNews

csoonline.com 4分で読了

Cisco、ISEネットワークアクセス制御デバイスの脆弱性を特定

攻撃者が、管理者でさえアクセスできない機微情報を閲覧できる可能性がある。

攻撃者に機微情報を露出させる可能性があるCisco SystemsのIdentity Services Engine(ISE)における最新の欠陥について、ある専門家は、修正にはパッチの適用に加えて認証情報のローテーションが必要だと述べている。

Cisco ISEは、アクセス・ポリシーを強制し、エンドポイントを管理するネットワークアクセス制御プラットフォームである。

Forrester ResearchのシニアアナリストであるPaddy Harrington氏は、Cisco製品にはこれまでにもより重大な穴があったと認めつつ、今回の問題は、実行して機微情報への読み取りアクセスを得るために管理者権限を持つ脅威アクターが必要だと述べた。「しかし」と同氏はCisco ISEサーバーを運用する上級インフォセック・リーダーに助言し、「こうしたものを放置しないでほしい」と述べた。

パッチ適用前に、管理者は次を行うべきだという:

  • 既存かつ承認済みのアクセス権を持つ者のISE認証情報をローテーションする;
  • アクセスが必要な者だけが認証情報を持つようにする;
  • ISEサーバーにアクセスできるデバイス数を減らす;
  • サーバーをオフラインにでき次第、できるだけ早くパッチを適用する。

顧客向けの通知でCiscoは、ISEおよびCisco ISE Passive Identity Connector(ISE-PIC)のライセンス機能における脆弱性CVE-2026-20029]により、管理者権限を持つ認証済みのリモート攻撃者が機微情報へアクセスできる可能性があるとしている。なぜこれが「ライセンス機能の脆弱性」と呼ばれるのかは明確ではない。説明を求めたが、Ciscoは締め切りまでに回答しなかった。

CVSSスコア4.9で中程度の重大度と説明するこのアドバイザリによれば、脆弱性はCisco ISEおよびCisco ISE-PICのWebベース管理インターフェースで処理されるXMLの不適切な解析に起因するという。

SANS Instituteのリサーチ部門学部長であるJohannes Ullrich氏は、「おそらく、これはXML External Entity(XXE)の脆弱性だろう」と述べた。外部エンティティとは、パーサーに対してローカルファイルを読み取るか外部URLへアクセスするよう指示するXMLの機能だと同氏は説明する。このケースでは、攻撃者がライセンスファイルに外部エンティティを埋め込み、XMLパーサーに機密ファイルを読み取って応答に含めるよう指示できる。これはXMLパーサーにおける一般的な脆弱性であり、通常は外部エンティティ解析を無効化することで緩和されるという。

攻撃者は設定ファイルなどの機密ファイルへの読み取りアクセスを得られるほか、ユーザー認証情報も入手できる可能性があると同氏は付け加えた。またUllrich氏は、ISE管理者は多くの情報にアクセスできるかもしれないが、ユーザー認証情報にはアクセスできるべきではないとも述べた。

Ciscoのアドバイザリは、攻撃者が悪意のあるファイルをアプリケーションにアップロードすることでこの脆弱性を悪用できるとしている。「悪用に成功すると、攻撃者は基盤となるオペレーティングシステム上の任意のファイルを読み取れる可能性があり、そこには本来、管理者であってもアクセスできないはずの機微データが含まれる場合がある。この脆弱性を悪用するには、攻撃者が有効な管理者認証情報を持っている必要がある。」

Ciscoは、この脆弱性に対する概念実証(PoC)エクスプロイトコードが利用可能だと述べたが、現時点で同社はこの穴が悪用された事例を把握していないという。 

近ごろは管理者認証情報を入手するのは難しくない、とHarrington氏は指摘する。「あまり語られたがらない“汚い秘密”は、ITとセキュリティ運用全体にわたって、デフォルト認証情報のまま放置されているシステムが非常に多いということだ。」特にそれは、ネットワークアクセス制御サーバーのようにファイアウォールの内側にあるデバイスでよく見られるという。管理者はネットワーク内部にあるため外部のハッカーには手出しできないと考えがちだが、Cisco管理者がパスワードを保存していた可能性のあるアプリケーションが侵害されれば、多くの認証情報がかき集められ得る。

関連コンテンツ: Cisco、重大なISE脆弱性3件について警告

折しも本日、SCORadarの研究者らが2025年のデータ窃取に関する分析を公開した。その中で、認証情報の窃取が昨年、新たな高水準に達したことなどが指摘されている。最も影響を受けた10のプラットフォーム(Facebook、Google、Robloxなど)から、合計3億8800万件の認証情報が盗まれた。

この記事は元々NetworkWorldに掲載された。

翻訳元: https://www.csoonline.com/article/4114715/cisco-identifies-vulnerability-in-ise-network-access-control-devices-2.html

ソース: csoonline.com
#Cisco #Cisco ISE #CVE-2026-20029 #XML外部実体参照(XXE) #ネットワークアクセス制御 #パッチ適用 #機密情報漏えい #管理者権限 #脆弱性 #認証済み攻撃

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活