Cisco、ISEおよび統合管理製品に深刻な脆弱性を修正(CVE-2025-20152,CVE-2025-20113)|セキュリティニュース

投稿日時: 2025年05月27日更新日時: 2025年05月26日

Cisco(シスコシステムズ)は2025年5月22日、複数の製品に影響を及ぼす合計10件のセキュリティアドバイザリを公開し、十数件の脆弱性について詳細を明らかにしました。特に注目されるのは、Cisco Identity Services Engine（ISE）とCisco Unified Intelligence Centerに関する高深刻度の脆弱性です。

1 ISEにおけるRADIUS処理のDoS脆弱性（CVE-2025-20152）
2 Unified Intelligence Center における権限昇格の脆弱性（CVE-2025-20113）
3 その他の製品に関する中リスクの脆弱性
4 悪用事例や報告は現時点で確認されていない
5 今後の対応とセキュリティ強化の重要性

ISEにおけるRADIUS処理のDoS脆弱性（CVE-2025-20152）

最も注目されるのは、ISEのRADIUSメッセージ処理に関する脆弱性（CVE-2025-20152）です。認証されていない遠隔の攻撃者が、特定の認証リクエストをNAD（ネットワークアクセデバイス）に送信することで、ISEを強制再起動させるDoS（サービス拒否）状態に陥らせる可能性があります。

この脆弱性は、RADIUSリクエストの不適切な処理が原因で、Ciscoによれば、影響を受けるISEはRADIUS認証サービスが有効な状態である必要があります（※初期設定で有効）。TACACS+のみを利用している場合は影響を受けません。

Ciscoは既に本脆弱性に対応するパッチ（ISE 3.4P1）をリリースしており、ワークアラウンド（回避策）は存在しないため、速やかなアップデートが推奨されます。

Unified Intelligence Center における権限昇格の脆弱性（CVE-2025-20113）

もう一つの高深刻度の脆弱性（CVE-2025-20113）は、Cisco Unified Intelligence Centerに存在します。この問題では、認証済みの攻撃者が細工されたAPIまたはHTTPリクエストを送信することで、一部の機能において管理者権限を得る可能性があります。原因は、サーバ側での入力値検証の不十分さにあります。

同製品ではさらに中リスクの脆弱性（CVE-2025-20114）も報告されており、**水平的な権限昇格（他ユーザーになりすます）**が可能になる可能性があります。

その他の製品に関する中リスクの脆弱性

Ciscoはこの他にも、以下の製品に関して中リスクの脆弱性を修正しています：

Webex / Webex Meetings
Secure Network Analytics Manager / Virtual Manager
Duo
Unified Communications and Contact Center Solutions
Unified Contact Center Enterprise（CCE）

これらの脆弱性の悪用により、XSS（クロスサイトスクリプティング）攻撃、コマンド注入、不正な分析レポート生成、キャッシュされたHTTPレスポンスの操作、データの改ざんなどが行われる可能性があります。

悪用事例や報告は現時点で確認されていない

CiscoのPSIRT（Product Security Incident Response Team）によれば、現時点でこれらの脆弱性が実際に悪用されたとの報告はありません。ただし、いずれも潜在的リスクが高いため、対象バージョンを利用している企業は早急なパッチ適用を推奨されます。

今後の対応とセキュリティ強化の重要性

Ciscoは今回のアドバイザリを通じて、セキュリティアップデートの継続的適用と製品の最新状態維持の重要性を改めて強調しています。ネットワークインフラの中核を担う製品であるISEやUnified Intelligence Centerが攻撃対象となった場合、組織全体の認証・認可に大きな影響を及ぼす可能性があります。

利用中の製品が影響を受けるか確認のうえ、対象バージョンのアップグレード計画を直ちに検討・実施することが望まれます。Ciscoの公式アドバイザリには、対象バージョンおよび修正済みリリースの詳細も記載されています。