Cisco ISEクラウド環境における静的認証情報の脆弱性

2025-06-06 最終更新日時 : 2025-06-06 Esune@dmin

概要

  • 発行日:2024-6-4
  • 更新日:2025-6-5
  • 該当CVE ID:CVE-2025-20286
  • CvSSスコア:9.9 (Critical)

脆弱性の概要

  • CVE-2025-20286

    Cisco Identity Services Engine(ISE)をAWS、Azure、OCIで利用している環境に、認証不要でリモートから攻撃可能な深刻な脆弱性が存在しています。
    この脆弱性を悪用されると、機密情報の取得、管理操作の実行、システム設定の変更、サービスの妨害が可能です。
  • 原因

    Cisco ISEをクラウドにデプロイする際、リリースごとかつクラウドごとに静的な(共通の)認証情報が生成されるという仕様が原因です。
    同じバージョン・同じクラウドであれば、全てのCisco ISEが同じ認証情報を使っており、攻撃者が一つのインスタンスから情報を抜き出せば、他の環境にもアクセス可能となる危険性があります。

影響を受ける製品

プラットフォーム脆弱なバージョン
AWS3.1、3.2、3.3、3.4
Azure3.2、3.3、3.4
OCI3.2、3.3、3.4

影響を受けない製品

以下の環境は、この脆弱性の影響を受けないことが確認されています

  • オンプレミス環境(ISOやOVAでインストールされたもの)
  • Azure VMware Solution(AVS)、Google Cloud VMware Engine、VMware on AWS
  • Primary / Secondary ISE管理ノードがオンプレで、それ以外がクラウドにある場合

注意事項

  • 脆弱性の回避策(ワークアラウンド)は 存在しません
  • 現時点で悪用の報告はなし
  • 旧バックアップの復元によって再び脆弱な状態になる可能性があるため注意が必要

対処法

  • この脆弱性に対する回避策はありません。

ワークアラウンド(回避策)

レスポンスマトリックス

Cisco.com の「Cisco サポートおよびダウンロード」ページでは、ライセンスとダウンロードに関する情報を提供しています。

このページでは、My Devices ツールをご利用のお客様のデバイスサポート範囲も確認できます。

関連URL:Cisco Identity Services Engine on Cloud Platforms Static Credential Vulnerability

初回執筆日:6月6日

カテゴリー
Cisco脆弱性情報
タグ
前の記事
Cisco Meraki MX および Z シリーズ テレワーカー ゲートウェイにおける AnyConnect VPN セッション乗っ取りおよびサービス妨害の脆弱性New!!
2025-06-03