Cisco Confirms Active Exploits Targeting ISE Flaws Enabling Unauthenticated Root Access
2025/07/22 TheHackerNews — 2025年7月21日に Cisco は、Identity Services Engine (ISE)/ISE Passive Identity Connector (ISE-PIC) に存在する、一連のセキュリティ脆弱性 CVE-2025-20337/20281/20282 に関するアドバイザリを更新し、それらの積極的な悪用が生じていると説明した。同社は、「2025年7月、Cisco の PSIRT (Product Security Incident Response Team) は、これらの脆弱性の一部が、実環境で悪用されたことを確認した」と警告している。なお、Cisco は、実際に悪用された脆弱性の詳細/攻撃者の身元/攻撃の規模などについて情報を開示していない。
Cisco ISE はネットワーク・アクセス制御の中核を担い、エンタープライズ・ネットワークへのユーザー/デバイスのアクセスおよび、その条件を動的に管理するものだ。したがって、このレイヤが侵害された場合には、認証制御やログ記録メカニズムを回避する攻撃者が、内部システムへの無制限なアクセスが許される可能性がある。つまり、ISE のポリシー・エンジンが、事実上のバックドアとなる恐れがある。
いま、警告されている一連の脆弱性は、未認証のリモート攻撃者に対して、基盤となる OS 上の root ユーザーとしての、任意のコマンド実行を許すものであり、いずれの CVSS スコアも最大値 10.0 と評価されている。
- CVE-2025-20281/CVE-2025-20337:特定の API に存在する複数の脆弱性により、未認証のリモート攻撃者に対して、基盤となる OS の root 権限でのコード実行を許す。
- CVE-2025-20282:内部 API に存在する脆弱性であり、未認証のリモート攻撃者に対して、任意のファイル・アップロードおよび、root 権限でのファイル実行を許す。
CVE-2025-20281/CVE-2025-20337 は、ユーザー入力に対する不十分な検証に起因する。CVE-2025-20282 は、アップロードされたファイルの、特権ディレクトリへの配置を防止するための、検証チェックの欠如に起因する。
それらを悪用する攻撃者は、CVE-2025-20281/CVE-2025-20337 では改竄された API リクエストにより、また、CVE-2025-20282 では改竄されたファイル・アップロードにより、基盤となる OS 上でのルート権限でのコード実行を引き起こすとされる。
上記の脆弱性に関しては、すでに積極的な悪用が確認されている。したがって、ユーザーに対して強く推奨されるのは、脆弱性が修正されたソフトウェア・リリースへの、速やかなアップグレードである。これらの脆弱性は、未認証のリモート攻撃者による悪用が可能であり、標的にされる未修正のシステムは、認証前のリモート・コード実行のリスクに直面している。したがって、重要インフラやコンプライアンスが重視される環境では、最優先で対処されるべき脅威である。
さらに、セキュリティ・チームにとって必要なことは、特に外部公開されている ISE 環境のシステム・ログにおける、不審な API アクセスや不正なファイル・アップロードの兆候の確認である。
Cisco ISE の3件の脆弱性ですが、API やファイル処理に潜む欠陥により、認証と必要としない、リモートからの侵入が生じるとのことです。それぞれの CVSS スコアは 10.0 であり、早急な対応が求められると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Cisco ISE で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.