投稿日時: 更新日時:
2025年11月5日Ciscoは、ネットワーク認証基盤であるCisco Identity Services Engine(ISE)において、未認証のリモート攻撃で意図せぬ再起動が発生し、サービス不能(DoS)に陥る不具合を公表しました。脆弱性識別子はCVE-2025-20343、CVSS 3.1は8.6(High)です。本件は設定次第で表面化するロジック不具合であり、条件が揃うと細工したRADIUSリクエストを送るだけでISEを再起動させることが可能になります。
影響範囲
影響を受けるのはISE 3.4.0、3.4 Patch 1、3.4 Patch 2、3.4 Patch 3で、いずれも前記設定が既定で有効になっています。ISE 3.3以前と3.5は影響を受けません。
CiscoはISE 3.4 Patch 4で本件を修正済みであり、速やかなアップグレードを推奨しています。現時点で公知の悪用は確認されておらず、発端はTACサポート案件の対応過程で判明したものです。
脆弱性の内容
問題は、ISE 3.4系で導入された「Reject RADIUS requests from clients with repeated failures(失敗を繰り返すクライアントからのRADIUSリクエストを拒否)」という抑止機能に起因します。
すでに拒否済みエンドポイントとして扱われるMACアドレスに対して、新たなAccess-Requestを処理する際に誤った分岐へ入る実装上の不備があり、攻撃者は認証不要のまま、特定の並びでRADIUSリクエストを投げ込むだけでISEを落とし、再起動を繰り返させることができます。
任意コード実行や情報窃取の類ではありませんが、認証・接続制御が断続的に停止すれば実利用者の接続や再認証が広く影響を受けます。
回避策と恒久対応
パッチ適用までの暫定策としては、管理GUIで該当設定を一時的に無効化する方法が最も現実的です。
管理画面の「Administration → System → Settings → Protocols → RADIUS」を開き、「Suppress Repeated Failed Clients and Repeated Accounting」のセクションにある「Reject RADIUS requests from clients with repeated failures」のチェックを外します。
抑止機能はいったん弱まりますが、脆弱性の表面化を避けるうえで有効です。恒久的にはISE 3.4 Patch 4へのアップグレードを実施し、修正後に当該設定を再度有効化するのが安全な運用手順です。
運用で留意すべき点
まず、自組織のISEが3.4系に該当するかを確認し、該当する場合は設定の有効・無効を棚卸ししてください。次に、RADIUSトラフィックとISEのヘルスを細かく観測し、拒否済みエンドポイントに対する連続的なAccess-Requestや、再起動に伴う切断・再接続のスパイクが出ていないかを点検します。
あわせて、認証基盤の単一障害点を避ける観点から、冗長構成やフェイルオーバーの動作確認、ヘルスチェックの閾値見直しも一度手当てしておくと、仮に不具合が顕在化しても業務影響を抑えられます。
関連記事
RADIUS プロトコルへ重大な脆弱性(CVE-2024-3596)サイバー攻撃への悪用の懸念
Cisco ISEに未認証のリモートコード実行脆弱性、詳細なExploit手法が公開
Cisco ISEに最大深刻度のRCE脆弱性、認証不要で完全乗っ取りの可能性
PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認
Cisco ISEクラウド版で危険度の高い脆弱性(CVE-2025-20286)-リモート攻撃で設定改ざんやサービス妨害の恐れ
SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる
Cisco、ISEおよび統合管理製品に深刻な脆弱性を修正(CVE-2025-20152,CVE-2025-20113)
ASUS DSLルーターに重大な認証回避の脆弱性(CVE-2025-59367)
Cisco Secure FMCのRADIUSで深刻な脆弱性(CVE-2025-20265)-ただちに設定確認とアップデートを
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)