Cisco ISE のゼロデイ脆弱性 CVE-2025-20281/20337:認証不要の RCE と PoC の公開

PoC Exploit Published for Actively Exploited Cisco Identity Services Engine Flaw

2025/07/29 gbhackers — Cisco Identity Services Engine (ISE) の深刻な脆弱性 CVE-2025-20281 を標的とする、PoC エクスプロイトと詳細な情報を、セキュリティ研究者たちが公開した。この脆弱性を悪用する未認証のリモート攻撃者は、コード実行を可能にするため、Cisco ISE をネットワークアクセス制御プラットフォームとして導入するエンタープライズに影響を及ぼし、すでに実際の攻撃での悪用も確認されている。

重大なゼロデイ脆弱性が明らかに

このゼロデイ脆弱性は、GMOサイバーセキュリティのセキュリティ研究者である Kentaro Kawane により、2025年1月25日の時点で、Trend Zero Day Initiative (ZDI) に報告されたものだ。

この欠陥は、DescriptionRegistrationListener クラス内の enableStrongSwanTunnel メソッドに存在する。信頼できないデータに対する、安全が確保されないデシリアライズを悪用する攻撃者は、ルート権限で任意コマンドを実行する経路を確立できる。

この脆弱性を調査したセキュリティ研究者 Bobby Gould は、同一メソッド内に別のコマンド・インジェクション脆弱性も存在することも突き止めた。当初の Cisco は、2つの欠陥に対して同一の CVE 識別子を割り当てたが、この発見を受けて、 別途に CVE-2025-20337 を発行し、すべての攻撃ベクターに対応するようにしている。

この、きわめて巧妙なエクスプロイト・チェーンにより、攻撃者は Java の文字列トークン化メカニズムを回避し、Docker コンテナからエスケープした上で、標的システムの完全な侵害を試みる。

具体的に言うと、攻撃者は、悪意を持ってシリアライズされた Java オブジェクトを、” “/deployment-rpc/enableStrongSwanTunnel” エンドポイントに送信する。このエンドポイントは、適切に入力データを検証せずに処理している、したがって、ユーザーが入力したデータを、sudo コマンドにダイレクトに連結し、昇格した権限でシェルスクリプトを実行し、コマンド・インジェクションを引き起こせるという。

ただし、Java の StringTokenizer クラスは、引用符やバッククォートを考慮せずに、コマンド文字列をスペースで分割するため、通常の方法ではエクスプロイトの成功が難しいことも判明している。

それに対して研究者たちは、Bash の内部フィールド区切り文字である ${IFS} を利用し、悪意のコマンド内のスペースを置換することで、Java のトークン化プロセスを通じてペイロードの整合性を維持し、この制限を克服したという。

final malicious request looked like this
 final malicious request looked like this

最終的には、悪意のリクエストを通じて、”configureStrongSwan.sh” スクリプトの実行フローへの、任意のコマンド挿入に成功している。

この脆弱性が特に危険とされる理由は、影響を受けるコードが “strongswan-container” という特権付きの Docker コンテナ内で動作している点にある。このコンフィグレーションを介して研究者が実証したのは、Linux の cgroup 操作手法を用いる完全なコンテナ・エスケープである。

このエスケープ手法では、cgroup ファイル・システムをマウントし、リリース・エージェント・スクリプトをコンフィグした上で、cgroup が空になるときに、このスクリプトをホスト上で実行させる。この、ユーザーモード・ヘルパー手法は、過去のセキュリティ研究でも文書化されており、攻撃者は基盤となる ISE サーバに対するルート・レベルのアクセスを取得するという。

Cisco ISE はエンタープライズ・ネットワークセキュリティの中核を成す製品であるため、世界中の組織にとって、この脆弱性は深刻な懸念材料となる。それに加えて、未認証による悪用が可能な点が、その危険性をさらに高めている。

Cisco ISE を運用する組織は、公開されているセキュリティ・パッチを速やかに適用し、システム侵害の兆候を継続的に監視すべきである。

詳細なエクスプロイト・コードが公開されたことで、広範囲な攻撃が発生するリスクが著しく高まっている。ネットワーク・セキュリティ体制を維持するためには、迅速な修正対応が不可欠である。

Cisco ISE に見つかったゼロデイ脆弱性 CVE-2025-20281/CVE-2025-20337 と PoC エクスプロイトについて解説する記事です。問題の原因は、信頼できないデータを安全に処理できない Java のデシリアライズあるようです。この欠陥を悪用する攻撃者は、特権付きの Docker コンテナからホスト OS にまで侵入できるとされています。ご利用のチームは、十分に ご注意ください。よろしければ、Cisco ISE で検索も、ご参照ください。