Critical Cisco ISE Auth Bypass Flaw Impacts Cloud Deployments on AWS, Azure, and OCI
2025/06/05 TheHackerNews — Cisco が公表したのは、Identity Services Engine (ISE) に影響を及ぼす、深刻なセキュリティ欠陥を修正する、セキュリティ・パッチのリリースである。この脆弱性を悪用する未認証の攻撃者は、脆弱なシステム上で悪意のある操作を実行できるようになるという。この脆弱性 CVE-2025-20286 (CVSS:9.9) は、静的認証情報の欠陥と説明されている。
Cisco のアドバイザリには、「Amazon Web Services (AWS)/Microsoft Azure/Oracle Cloud Infrastructure (OCI) 環境における、Cisco Identity Services Engine (ISE) の脆弱性は、未認証のリモート攻撃者に、侵害の手段を提供するものである。この脆弱性の悪用に成功した攻撃者は、機密データへのアクセス/限定的な管理操作の実行/システム・コンフィグの変更などを引き起こし、システム内のサービスを妨害する可能性を得る」と述べている。
この脆弱性を報告した、GMO Cybersecurity の Kentaro Kawane を称賛する Cisco は、PoC エクスプロイトの存在を認識しているとも述べている。ただし、実際の攻撃が行われたという証拠はないという。
この問題は、Cisco ISE をクラウド・プラットフォームに導入する際に、認証情報が不適切に生成されることに起因する。 ソフトウェア・リリースとクラウド・プラットフォームが同じであれば、異なる導入環境で同じ認証情報が共有されてしまうと、Cisco は指摘している。
言い換えると、静的認証情報は各リリースとプラットフォームに固有のものであり、プラットフォーム間での互換性はない。したがって、同社が強調しているように、AWS 上の Cisco ISE リリース 3.1 のインスタンスは、同じ静的認証情報を持つことになる。
ただし、リリース 3.1 環境へのアクセスに有効な認証情報は、同じプラットフォーム上のリリース 3.2 環境へのアクセスにおいて有効ではない。さらに、AWS 上のリリース 3.2 と Azure 上のリリース 3.2 の認証情報は一致しない。
この脆弱性の悪用に成功した攻撃者は、Cisco ISE クラウド導入環境からユーザ認証情報を抽出し、それを悪用することで、セキュリティ保護されていないポートを介して、他のクラウド環境に導入された Cisco ISE にアクセスする可能性を手にする。
それにより、最終的には、機密データへの不正アクセス/限定的な管理操作の実行/システム・コンフィグの変更に加えて、サービスの中断が発生する可能性がある。ただし、Cisco ISE が影響を受けるのは、プライマリ管理ノードがクラウドに展開されている場合のみとなる。つまり、オンプレミスのプライマリ管理ノードは影響を受けない。
影響を受けるバージョンは、以下のとおりである:
- AWS:Cisco ISE 3.1/3.2/3.3/3.4
- Azure:Cisco ISE 3.2/3.3/3.4
- OCI:Cisco ISE 3.2/3.3/3.4
脆弱性 CVE-2025-20286 に対する回避策は存在しないが、Cisco が推奨するのは、承認された管理者だけへのトラフィック制限/”application reset-config ise” コマンドの実行による、ユーザー・パスワードのリセットである。ただし、このコマンドを実行すると、工場出荷時の設定に、Cisco ISE がリセットされることに注意してほしい。
Cisco ISE に深刻なセキュリティ脆弱性が存在するとのことです。クラウド環境における、認証情報の扱いに問題が生じていると指摘されています。Cisco のアドバイザリを見ると、すでにアップデートがリリースされているようですが、その詳細までは辿れませんでした。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.