Critical Cisco ISE Vulnerability Allows Remote Attacker to Execute Commands as Root User
2025/07/17 CyberSecurityNews — Cisco が公表したのは、Identity Services Engine (ISE)/ISE Passive Identity Connector (ISE-PIC) に存在する、複数の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるシステム上のルート権限で、任意のコマンド実行の可能性を手にする。これらの脆弱性 CVE-2025-20281/CVE-2025-20282/CVE-2025-20337 の CVSS スコアは、いずれも 10.0 であり、Critical と評価されている。
脆弱性の概要
| CVE ID | Affected Versions | Patched Versions | Description |
|---|---|---|---|
| CVE-2025-20281 | ISE/ISE-PIC 3.3, 3.4 | 3.3 Patch 7, 3.4 Patch 2 | API unauthenticated remote code execution via insufficient input validation |
| CVE-2025-20282 | ISE/ISE-PIC 3.4 only | 3.4 Patch 2 | File upload vulnerability allowing arbitrary file execution with root privileges |
| CVE-2025-20337 | ISE/ISE-PIC 3.3, 3.4 | 3.3 Patch 7, 3.4 Patch 2 | API unauthenticated remote code execution via insufficient input validation |
これらの 3 件の脆弱性は、Cisco ISE /ISE-PIC システムにおける特定の API の、不十分な入力検証に起因する。脆弱性 CVE-2025-20281/CVE-2025-20337 はバージョン 3.3/3.4 に影響するが、CVE-2025-20282 はバージョン 3.4 のみに影響する。
重要な点は、これらの脆弱性において、認証が必要とされないことにある。したがって、有効な認証情報を持たない攻撃者であっても、これらの脆弱性の悪用が可能であり、きわめて危険な状況にあると言える。
脆弱性 CVE-2025-20281/CVE-2025-20337 、ユーザー入力に対する不十分な件法に起因するものであり、細工された API リクエストの送信により、任意のコード実行を攻撃者に許すという。
その一方で、CVE-2025-20282 が示す攻撃ベクターは、特権ディレクトリへの任意のファイルのアップロードと、その後のルート権限での実行を、攻撃者に許すものである。この脆弱性は、重要なシステム・ディレクトリへ向けた、悪意のファイル配置を防ぐための、ファイル検証チェックの欠如を悪用するものだ
影響を受けるシステムと範囲
これらの脆弱性は、Cisco ISE/ISE-PIC のリリース 3.3/3.4 に、デバイスのコンフィグレーションとは無関係に影響を及ぼす。ただし、バージョン 3.2 以下を使用するデバイスは、これらのセキュリティ欠陥の影響を受けない。
数多くのエンタープライズ環境において、ネットワークアクセス制御およびポリシー適用のコア・プラットフォームとして機能する ISE の脆弱性は、広範な影響を及ぼす可能性がきわめて高い。
これらの脆弱性は互いに独立しており、いずれの悪用においても、他の脆弱性との連鎖は不要であるため、攻撃者に対して複数の攻撃ベクターが提供される。
これらの脆弱性は、未認証のリモート攻撃者による悪用が可能であるため、影響を受けるユーザー組織は、緊急のセキュリティ対応が必要な状況にある。
推奨される対策とアップデート
すでに Cisco は、ソフトウェア・アップデートをリリースし、これら3件の脆弱性に対処している。ただし、回避策は存在しない。したがって、Cisco が推奨するのは、バージョン 3.3 Patch 7 および、バージョン 3.4 Patch 2 へのアップグレードである。
現時点で、バージョン 3.4 Patch 2 を実行している組織は、追加の対応は不要である。ただし、バージョン 3.3 Patch 6 を使用している組織は、Patch 7 へのアップグレードが必要となる。
なお、Cisco は、以前リリースした、以下のホット・パッチを廃止している:
- ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz
- ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz
これらのホット・パッチは CVE-2025-20337 に対応していないため、完全なパッチ・リリースへのアップグレードが必要となる。
脆弱性の発見者と悪用状況
これらの脆弱性は、Trend Micro Zero Day Initiative のセキュリティ研究者 Bobby Gould と、GMO Cybersecurity by Ierae の Kentaro Kawane により発見され、適切に開示された。
Cisco の PSIRT は、情報の公開時点において、これらの脆弱性の悪用の証拠は確認されていないと報告している。
影響を受ける Cisco ISE システムを運用している組織は、これらの脆弱性の重大性および、システム全体への侵害の可能性を考慮し、速やかなパッチ適用を最優先事項とすべきである。
Cisco ISE の3件の脆弱性は、きわめて深刻なものとなっています。この製品は、ネットワークのアクセス制御に使われるため、数多くの企業にとって、大きな影響が生じるはずです。ご利用のチームは、十分に ご注意ください。よろしければ、Cisco ISE で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.