Cisco ISEに高深刻度のDoS 脆弱性(CVE-2025-20343)

セキュリティニュース

投稿日時: 更新日時:

Cisco ISEに高深刻度のDoS 脆弱性(CVE-2025-20343)

2025年11月5日Ciscoは、ネットワーク認証基盤であるCisco Identity Services Engine(ISE)において、未認証のリモート攻撃で意図せぬ再起動が発生し、サービス不能(DoS)に陥る不具合を公表しました。脆弱性識別子はCVE-2025-20343、CVSS 3.1は8.6(High)です。本件は設定次第で表面化するロジック不具合であり、条件が揃うと細工したRADIUSリクエストを送るだけでISEを再起動させることが可能になります。

影響範囲

影響を受けるのはISE 3.4.0、3.4 Patch 1、3.4 Patch 2、3.4 Patch 3で、いずれも前記設定が既定で有効になっています。ISE 3.3以前と3.5は影響を受けません。

CiscoはISE 3.4 Patch 4で本件を修正済みであり、速やかなアップグレードを推奨しています。現時点で公知の悪用は確認されておらず、発端はTACサポート案件の対応過程で判明したものです。

脆弱性の内容

問題は、ISE 3.4系で導入された「Reject RADIUS requests from clients with repeated failures(失敗を繰り返すクライアントからのRADIUSリクエストを拒否)」という抑止機能に起因します。

すでに拒否済みエンドポイントとして扱われるMACアドレスに対して、新たなAccess-Requestを処理する際に誤った分岐へ入る実装上の不備があり、攻撃者は認証不要のまま、特定の並びでRADIUSリクエストを投げ込むだけでISEを落とし、再起動を繰り返させることができます。

任意コード実行や情報窃取の類ではありませんが、認証・接続制御が断続的に停止すれば実利用者の接続や再認証が広く影響を受けます。

回避策と恒久対応

パッチ適用までの暫定策としては、管理GUIで該当設定を一時的に無効化する方法が最も現実的です。

管理画面の「Administration → System → Settings → Protocols → RADIUS」を開き、「Suppress Repeated Failed Clients and Repeated Accounting」のセクションにある「Reject RADIUS requests from clients with repeated failures」のチェックを外します。

抑止機能はいったん弱まりますが、脆弱性の表面化を避けるうえで有効です。恒久的にはISE 3.4 Patch 4へのアップグレードを実施し、修正後に当該設定を再度有効化するのが安全な運用手順です。

運用で留意すべき点

まず、自組織のISEが3.4系に該当するかを確認し、該当する場合は設定の有効・無効を棚卸ししてください。次に、RADIUSトラフィックとISEのヘルスを細かく観測し、拒否済みエンドポイントに対する連続的なAccess-Requestや、再起動に伴う切断・再接続のスパイクが出ていないかを点検します。

あわせて、認証基盤の単一障害点を避ける観点から、冗長構成やフェイルオーバーの動作確認、ヘルスチェックの閾値見直しも一度手当てしておくと、仮に不具合が顕在化しても業務影響を抑えられます。