Cisco Systemsは2025年6月4日、同社のネットワークアクセス制御ソリューション「Cisco Identity Services Engine(ISE)」のクラウド展開において、重大な脆弱性(CVE-2025-20286、CVSS 9.9)が存在することを公表しました。
すでにPoC(概念実証)コードも公開されており、組織のクラウドセキュリティ担当者は即時の対応が求められます。
影響を受ける構成
以下のクラウドプラットフォームにおけるISEのバージョンが対象です。
| クラウド環境 | 影響バージョン |
|---|---|
| AWS | 3.1, 3.2, 3.3, 3.4 |
| Azure | 3.2, 3.3, 3.4 |
| Oracle Cloud | 3.2, 3.3, 3.4 |
※ オンプレミスでの導入やVMwareベースのクラウド(AVSなど)では影響を受けません。
脆弱性の対策
Ciscoは、以下の修正方法を提供しています:
影響を受けるすべてのバージョン(3.1〜3.4)向けにise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gzを提供しています。
なお、今後の修正版スケジュールは以下です。
-
-
3.3 → 3.3P8(2025年11月)
-
3.4 → 3.4P3(2025年10月)
-
3.5 → 初期リリースから修正済(2025年8月予定)
-
脆弱性の概要:クラウド環境で静的認証情報が共有
問題の本質は、Cisco ISEのクラウド導入時に発行される認証情報が静的で、同一バージョン・同一クラウド基盤で共有される点にあります。
これにより、攻撃者が1つの環境から認証情報を取得すれば、他の同一条件のCisco ISEインスタンスにもアクセス可能になるという深刻な欠陥です。
「AWS上のISE 3.1環境で得た認証情報が、他の顧客のISE 3.1(AWS)環境にも有効になる」といった実例が想定されます。
想定される影響
-
機密情報の不正取得
-
システム設定の改ざん
-
限定的な管理者操作の実行
-
サービス停止(DoS)
推奨される緩和策
脆弱性に対する回避策はありませんが、以下の緩和措置が提案されています。
-
クラウドセキュリティグループでIP制限
管理者のグローバルIPに限定してISEインスタンスへのアクセスを許可 -
Cisco ISEのUIでIP制限:
管理者のIPアドレスのみ許可 -
初期導入時に認証情報を再設定:
application reset-config iseコマンドを使用してパスワードを再生成
注意:この操作はISEを工場出荷状態にリセットするため慎重な対応が必要です
また、バックアップからのリストアでは古い認証情報が復元されるため注意が必要です。
PoCの存在と今後のリスク
CiscoのPSIRT(セキュリティインシデント対応チーム)は、本脆弱性に関するPoCコードの存在を確認していると発表しています。ただし、現時点で実際の悪用事例は確認されていません。
しかしながら、静的クレデンシャルを利用した横展開攻撃の危険性から、セキュリティ対策の優先順位は「極めて高い」と評価できます。
参照
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-aws-static-cred-FPMjUcm7
関連記事
AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
主要なLLMに有効なプロンプト インジェクション「Policy Puppetry」-サイバー攻撃への悪用が容易
Cisco、ISEおよび統合管理製品に深刻な脆弱性を修正(CVE-2025-20152,CVE-2025-20113)
シスコがパスワード スプレー攻撃に悪用された脆弱性(CVE-2024-20481)を修正
AWSのセキュリティ対策におけるEDRやエンドポイントセキュリティの重要性を解説
シスコシステムズが不正アクセスの公式声明を発表 DevHubポータルを非公開に
F5 BIG-IPの脆弱性 PoCがリリース(CVE-2025-20029)
Cisco Webexに深刻なRCE脆弱性、会議リンク経由で不正コード実行の恐れ(CVE-2025-20236)
Cisco、IOS XE Wireless LANコントローラーの重大脆弱性に対するセキュリティアップデートを公開
