シスコは、同社のアイデンティティ・サービス・エンジン(ISE)セキュリティ・ポリシー管理プラットフォームの2つの重大な脆弱性を修正するパッチをリリースした。
企業の管理者は、認証、認可、およびアカウンティングを単一のアプライアンスに統合するアイデンティティおよびアクセス管理(IAM)ソリューションとして、Cisco ISEを使用しています。
2つのセキュリティ上の欠陥(CVE-2025-20124およびCVE-2025-20125)は、読み取り専用の管理者権限を持つ認証済みのリモート攻撃者に悪用される可能性があり、パッチを適用していないデバイス上でrootとして任意のコマンドを実行し、認証をバイパスすることができます。
これらの脆弱性は、デバイス構成に関係なく、Cisco ISE および Cisco ISE Passive Identity Connector(ISE-PIC)アプライアンスに影響します。
「この脆弱性は、影響を受けるソフトウェアによる、ユーザーから提供されたJavaバイトストリームの安全でないデシリアライゼーションに起因する」とシスコは述べ、深刻度9.9/10のタグが付けられたCVE-2025-20124バグについて説明している。
「攻撃者は、影響を受ける API に細工されたシリアライズされた Java オブジェクトを送信することで、この脆弱性を悪用することができます。悪用に成功すると、攻撃者はデバイス上で任意のコマンドを実行し、特権を昇格させることができます。”
CVE-2025-20125 は、特定の API における認可の欠如と、ユーザーが提供するデータの不適切な検証によって引き起こされ、悪意を持って細工された HTTP リクエストを使用して悪用され、情報を取得したり、脆弱なシステムの設定を変更したり、デバイスをリロードしたりすることができます。
管理者は、Cisco ISE アプライアンスをできるだけ早く以下の表に示す修正リリースのいずれかに移行またはアップグレードすることをお勧めします。
| Cisco ISE ソフトウェア リリース | 最初の固定リリース |
|---|---|
| 3.0 | 固定リリースに移行する |
| 3.1 | 3.1P10 |
| 3.2 | 3.2P7 |
| 3.3 | 3.3P4 |
| 3.4 | 脆弱ではない |
シスコのプロダクト・セキュリティ・インシデント・レスポンス・チーム(PSIRT)は、公開されている悪用コードの証拠や、(デロイトのセキュリティ研究者であるDan Marin氏とSebastian Radulea氏によって報告された)2つの重大なセキュリティ欠陥が攻撃に悪用されたという証拠をまだ発見していない。
水曜日、同社はまた、IOS、IOS XE、IOS XR(CVE-2025-20169、CVE-2025-20170、CVE-2025-20171)およびNX-OS(CVE-2024-20397)ソフトウェアに影響を及ぼす深刻度の高い脆弱性について警告した。
シスコは、SNMP機能を有効にしたIOS、IOS XE、およびIOS XRソフトウェアに影響を与えるDoS脆弱性のパッチをまだ適用していない。しかし、シスコは、これらの脆弱性は実際には悪用されていないとし、管理者が脆弱なデバイスの脆弱なオブジェクト識別子(OID)を無効にすることを要求する緩和策を提供している(ただし、これはネットワークの機能やパフォーマンスに悪影響を及ぼす可能性がある)。
同社は、2月と3月にSNMP DoSセキュリティバグに対応するソフトウェアアップデートを配布する予定である。
シスコは9月にも、脅威行為者が脆弱なアプライアンス上で特権をrootにエスカレートさせるIdentity Services Engineの脆弱性(悪用コードが公開されている)を修正した。
その2カ月後には、脆弱なURWB(Ultra-Reliable Wireless Backhaul)アクセス・ポイント上で攻撃者がroot権限でコマンドを実行できる最大深刻度の脆弱性も修正した。
Comments