2025/02/05 SecurityOnline — Cisco が発行したのは、エンタープライズで広く使用されているネットワーク・セキュリティ・ポリシー管理プラットフォームである、Identity Services Engine (ISE) に存在する2つの深刻な脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性 CVE-2025-20124/CVE-2025-20125 の悪用に成功した認証済の攻撃者は、ルートとして任意のコマンドを実行して、認証制御のバイパスを達成し、影響を受けるシステムに深刻なリスクをもたらす可能性を得る。
CVE-2025-20124 (CVSS:9.9) :安全が確保されない Java デシリアライゼーションの脆弱性
この脆弱性は、ユーザーが提供する Java バイト・ストリームの、安全が確保されないデシリアライゼーションに起因する。細工されシリアライズされた Java オブジェクトを、影響を受ける API に送信する攻撃者に対して、この脆弱性の悪用が許される可能性がある。悪用に成功した攻撃者は、デバイス上で任意のコマンドを実行し、権限を昇格できるという。
CVE-2025-20125 (CVSS:9.1) :認証バイパスの脆弱性
この脆弱性は、特定の API における認証の欠如と、ユーザー提供データに対する不適切な検証に起因する。標的デバイス上の特定の API に対して、細工された HTTP リクエストを送信する攻撃者に対して、この脆弱性の悪用が許される可能性がある。攻撃に成功した攻撃者は、各種の情報を取得し、システム・コンフィグを変更した上で、デバイスをリロードできる。
どちらの脆弱性も、悪用を試行する攻撃者の前提条件として、有効な読み取り専用の管理者認証情報が必要になる。また、シングル・ノード展開では、リロード中に新しいデバイスを認証できない。
すでに Cisco は、ソフトウェア・アップデートをリリースし、これらの脆弱性に対処している。なお、一連の脆弱性に対処する回避策は存在しない。
| Cisco ISE Software Releases | First Fixed Release |
|---|---|
| 3.0 | Migrate to a fixed release. |
| 3.1 | 3.1P10 |
| 3.2 | 3.2P7 |
| 3.3 | 3.3P4 |
| 3.4 | Not vulnerable. |
Cisco PSIRT の説明によると、このアドバイザリに記載される脆弱性については、情報の公開や悪用は認識していないとのことだ。 Cisco ISE/ISE-PIC を使用しているエンタープライズに対して、強く推奨されるのは、可能な限り早急に最新バージョンへと、対象ソフトウェアを更新することだ。
Cisco Identity Services Engine に、2つの脆弱性とのことです。アップデートは提供されていますが、回避策は存在しないとのことです。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.