Ciscoは、Identity Services Engine(ISE)ネットワークアクセス制御システムに存在する脆弱性を修正しました。この脆弱性については、すでに公開の概念実証(PoC)エクスプロイトが出回っています。この欠陥は、管理者資格情報を保有する攻撃者によって武器化され得るもので、侵害されたデバイス上に隔離されている機微データへの不正アクセスを可能にします。
Cisco ISEと、その関連コンポーネントであるPassive Identity Connector(ISE-PIC)は、特にゼロトラストの枠組みにおいて、ユーザーおよびデバイスのアクセスを管理するための企業アーキテクチャの中核を担っています。CVE-2026-20029として指定された今回の問題は、具体的な構成にかかわらず両システムに影響します。
Ciscoの技術アドバイザリによると、この脆弱性はWebベースの管理インターフェースにおけるXMLファイルの不適切な処理に起因します。巧妙に細工されたファイルをアップロードすることで、攻撃者はシステムに基盤となるオペレーティングシステムから任意のファイルを読み取らせることができます。その結果、通常は管理者であってもアクセスできないデータが脆弱な状態になります。エクスプロイトには有効な管理者資格情報が必要であるものの、公開領域に機能するデモが出現したことで、脅威の度合いは大幅に高まっています。
アナリストは、現時点でこの脆弱性が実際の侵害で悪用されている証拠はないと報告しています。しかし、公開エクスプロイトが利用可能になったため、Ciscoは一時的な緩和策は短期的な対症療法にすぎないとしています。組織には、以下の修正済みリリースへ移行することが強く求められます。
-
3.2より前のバージョンは、サポート対象のブランチへ移行する必要があります。
-
ブランチ3.2:パッチ8で解決。
-
ブランチ3.3:パッチ8で解決。
-
ブランチ3.4:パッチ4で解決。
-
バージョン3.5:本質的に影響を受けないと判断。
同時に、CiscoはIOS XEにおいて、認証なしのリモート攻撃者がSnort 3検知エンジンをリセットできる複数の脆弱性にも対処しました。これにより、サービス拒否(DoS)状態やネットワークトラフィックデータの流出につながる可能性がありました。これらの事例では、公開エクスプロイトも実際の攻撃も確認されていません。
これらの動きは、11月にAmazonのアナリストが、Cisco ISEの重大なゼロデイ(CVE-2025-20337)が脅威アクターによりカスタムマルウェアの展開に利用されたと警告したことに続くものです。さらに12月には、Ciscoが中国の脅威集団UAT-9686による継続的な攻撃を公表しました。同集団はAsyncOS製品における別の重大な欠陥CVE-2025-20393を悪用しています。後者については決定的なパッチが依然として未提供であるため、同社は、デバイスへのアクセスを信頼できるホストに厳格に限定し、インターネットへの露出を減らし、強固なファイアウォールの背後で影響を受けるシステムを隔離するよう助言しています。
翻訳元: https://meterpreter.org/bypassing-the-gatekeeper-public-exploit-released-for-cisco-ise-flaw/
