Cisco ISE(Identity Services Engine)は、ネットワークへのアクセスを制御し、セキュリティを強化するための包括的なソリューションです。
従来のID/パスワードによる認証では「誰が」が実現できていましたがそれだけでなく、「どの端末で/いつ/どこで/どのように」といった、状況に応じた柔軟なアクセス制御を可能にします。
しかし、このISEに脆弱性が確認されました。
- CVE-2025-20337
認証されていない攻撃者が悪意のあるファイルを保存したり、任意のコードを実行したり、脆弱なデバイスでルート権限を取得したりする可能性があります。
RCE(リモートコード実行)です。
これはユーザが入力した内容に対して入力検証チェックが不十分なために発生しています。
Cisco ISE Release 3.3 Patch 7もしくは3.4 Patch 2以降においてはこの脆弱性は解消されています。
この脆弱性とほぼ同じタイミングでもう2つ同じ製品に対する脆弱性が解消されています。
- CVE-2025-20281
この脆弱性もCisco ISEに対するものです。
Cisco ISE および ISE-PIC リリース3.3以降に影響する、認証されていないリモート コード実行の脆弱性です。
認証されていないリモート攻撃者が、基盤となるオペレーティングシステム上で特権管理者として任意のコードを実行できる可能性があります。
Cisco ISE Release 3.3 Patch 7もしくは3.4 Patch 2以降においてはこの脆弱性は解消されています。 - CVE-2025-20282
この脆弱性もCisco ISEに対するものです。
Cisco ISE および ISE-PIC リリース3.4に影響する、認証されていないリモート コード実行の脆弱性です。
認証されていないリモート攻撃者が、影響を受けるデバイスに任意のファイルをアップロードし、基盤となるオペレーティングシステムでそれらのファイルを特権管理者として実行できる可能性があります。
Cisco ISE Release 3.4 Patch 2以降においてはこの脆弱性は解消されています。
これら3つの脆弱性はいずれも単独でRCEを成り立たせてしまう内容になっています。
しかし現時点ではまだ実際にこれらが悪用された事例は確認されていません。
手元環境にこれらの対象製品がある場合は速やかに更新を完了させておきましょう。
サーバ系機器へのパッチ適用に比べてネットワーク系機器へのパッチ適用は実施が遅くなっている傾向がある環境が多いのではないでしょうか。
しかし見た目の形状やそのジャンルに関係なく、今時は多くの製品に高度な機構が実装されています。
そして脆弱性はそういった高度な機構の実装や仕様の隙間部分を狙った内容で成り立ってしまうものです。
ネットワーク系機器だからそんなに急いで更新しなくてよいだろう、などという考えは妥当ではありません。
適切なパッチケイデンスの維持は、広い範囲で必要な取り組みといえます。
Cisco Identity Services Engine Unauthenticated Remote Code Execution Vulnerabilities
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
| この記事をシェア |
|
|---|
