Cisco Identity Services Engineは、RADIUS サーバとして動作し、様々なセキュリティポリシーの管理・設定・適用・監視を行うことができます。
従来のID/パスワードによる認証(誰が)だけでなく、「どの端末で/いつ/どこで/どのように」といった状況に応じた柔軟なアクセス制御が可能となります。
これを使うことで、Catalystスイッチ/ルータなどの他Cisco製品と連携し、ネットワーク仮想化を実現できるようにします。
このシステムの統合的な認証認可をまとめて処理する部分において、認証バイパスできてしまう脆弱性が確認されています。
- CVE-2025-20124
攻撃者は、細工されたシリアル化された Java オブジェクトを影響を受ける API に送信することで、この脆弱性を悪用する可能性があります。
この脆弱性を悪用すると、攻撃者はデバイス上で任意のコマンドを実行し、権限を昇格できる可能性があります。
CVSS Base Scoreは9.9です。 - CVE-2025-20125
この脆弱性は特定のAPIの認証不足とユーザー提供データの不適切な検証によって発生し、悪意を持って作成されたHTTPリクエストを使用して情報を取得し、脆弱なシステムの構成を変更し、デバイスをリロードするなどの悪用が可能です。
CVSS Base Scoreは9.1です。
これらの2つの脆弱性は、読み取り専用の管理者権限を持つ認証済みのリモート攻撃者によって悪用され、rootとして任意のコマンドを実行し、パッチが適用されていないデバイスで認証をバイパスする可能性があります。
これらの脆弱性に対策されたバージョンは、すでにリリースされています。
速やかに更新を完了させましょう。
ネットワーク機器は最新のバージョンでない状態でも、通常の利用において、これまでと変わりなく利用できていくような感覚があります。
これはその通りかもしれません。
しかし、今回のような脆弱性がある状態のまま運用を継続している場合、いつのまにかネットワークの各種要素の設定が把握されてしまい、小さな抜け道を設置され、大きな侵害へと繋がってしまうということになることも心配されます。
環境に存在する機器の全体の把握と、それらを健全な状態に保ちながら運用する、これが重要ということですね。
Cisco Identity Services Engine Insecure Java Deserialization and Authorization Bypass Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multivuls-FTW9AOXF
| この記事をシェア |
|
|---|
