ネットワーク大手Ciscoは、新たに発見された2つの脆弱性がIdentity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)に影響を与えていることを警告する緊急のセキュリティアドバイザリーを発表しました。
Cisco Identity Services Engine(ISE)は、企業ネットワークリソースへの安全なアクセスを提供する、広く展開されているセキュリティポリシー管理プラットフォームです。
これらの新しい脆弱性の中で最も深刻なものは、認証されたリモート攻撃者が完全なリモートコード実行(RCE)を実現し、影響を受けたインフラストラクチャを侵害することを許可する可能性があります。
2026年4月15日に公開された公式のCiscoアドバイザリーによると、脆弱性は両製品のWebベースの管理インターフェースに存在しています。
悪用には有効な管理者認証情報が必要ですが、潜在的な影響は依然として壊滅的であり、重大度は「重大」と評定されています。
技術的詳細と脆弱性の詳細
セキュリティブルテンは、互いに独立して動作する2つの異なるセキュリティ欠陥を概説しています。脅威アクターが成功した攻撃を開始するために、これらの脆弱性をチェーンする必要はありません。
- CVE-2026-20147(CSSスコア9.9 – 重大): このリモートコード実行脆弱性は、ユーザー提供の入力の不十分な検証に起因しています。脅威アクターは、悪意のあるHTTPリクエストを影響を受けたデバイスに送信することによってこれを悪用できます。成功した攻撃は、基盤となるオペレーティングシステムへのユーザーレベルのアクセスを許可し、その後、ルート権限に簡単に昇格させることができます。さらに、シングルノードのISE展開では、このエクスプロイトは完全なサービス拒否(DoS)をトリガーし、ノードが完全に復元されるまで、認証されていないエンドポイントをネットワークからロックアウトします。
- CVE-2026-20148(CSSスコア4.9 – 中程度): このパストトラバーサル脆弱性は、不適切な入力検証が原因です。特定のHTTPリクエストを送信することにより、認証された攻撃者はディレクトリ制限をバイパスして、基盤となるオペレーティングシステムに保存されている任意の機密ファイルを読み取ることができます。
緩和戦略とパッチの可用性
Ciscoは、現在、悪用を防止するための利用可能な回避策または一時的な緩和策がないことを確認しています。
組織は、ネットワーク環境を保護するために、公式のソフトウェアアップデートを即座に適用する必要があります。
管理者は、以下の公式パッチガイダンスに従って、システムをアップグレードすることを強くお勧めします:
- バージョン3.1を実行しているデプロイメントは、3.1パッチ11にアップグレードする必要があります。
- バージョン3.2を使用している環境は、3.2パッチ10を適用する必要があります。
- バージョン3.3で動作しているシステムは、3.3パッチ11をインストールすることをお勧めします。
- バージョン3.4の管理者は、3.4パッチ6に更新する必要があります。
- バージョン3.5を利用しているネットワークは、3.5パッチ3に更新する必要があります。
- 3.1より前のレガシーバージョンは、サポートされている固定リリースへの即座なマイグレーションが必要です。
これらの重大な脆弱性は、TrendAI ResearchのセキュリティリサーチャーであるJonathan Leinによって独立して発見され、Ciscoに報告されました。
公開時点で、Cisco Product Security Incident Response Team(PSIRT)は、公開されている概念実証(PoC)エクスプロイトまたは野生での悪意のある悪用を認識していないと述べました。
しかし、CVE-2026-20147の大きな9.9 CSSスコアを考慮すると、サイバーセキュリティチームは、脅威アクターがソフトウェア修正をリバースエンジニアできる前に、脆弱性管理サイクルでこれらのパッチを優先することを強くお勧めします。
翻訳元: https://gbhackers.com/critical-cisco-ise-flaws/
