Cisco ISE API 認証なしリモートコード実行の脆弱性

この脆弱性を悪用すると、攻撃者はCisco ISEデバイスに悪意のあるファイルをアップロードし、そのファイルを実行することで、システムへの完全な制御権限を獲得する可能性があります。攻撃者は、機密情報を盗み出し、システム設定を変更し、他のネットワークリソースへの攻撃を開始するためにこのアクセスを利用できます。この脆弱性は、特にCisco ISEが重要なネットワークサービスを管理している環境において、重大なセキュリティリスクをもたらします。攻撃者は、ISEデバイスを足がかりとして、ネットワーク内の他のシステムに横展開する可能性があります。この脆弱性の影響範囲は広範囲に及ぶ可能性があり、ネットワーク全体のセキュリティが脅かされる可能性があります。

Organizations heavily reliant on Cisco ISE for network access control are at significant risk. This includes enterprises, educational institutions, and government agencies. Environments with legacy ISE deployments or those lacking robust security monitoring practices are particularly vulnerable. Shared hosting environments utilizing Cisco ISE are also at increased risk due to the potential for cross-tenant exploitation.

• linux / server: Monitor ISE logs (typically located in /var/log/ise/) for unusual file uploads or execution attempts. Use journalctl -f to monitor real-time log activity.

journalctl -f | grep -i "upload" | grep -i "execute"

• cisco: Use Cisco's Security Monitoring and Threat Detection (SMTD) tools to detect suspicious file upload patterns and unauthorized access attempts. Check Cisco's Threat Response Intelligence Center (CTRIC) for relevant signatures. • generic web: Monitor network traffic for unusual HTTP POST requests to ISE API endpoints, especially those related to file uploads. Use curl to test endpoint exposure.

curl -v -X POST -F "[email protected]" <ISE_IP>/api/upload

1. 2025-06-25Disclosure

   disclosure

1. 予約済み2024-10-10
2. 公開日2025-06-25
3. 更新日2026-02-26
4. EPSS 更新日2026-03-23

Ciscoは、この脆弱性を修正した最新バージョンへのアップグレードを推奨しています。アップグレードがシステムに影響を与える可能性がある場合は、事前にバックアップを作成し、テスト環境でアップグレードを検証してください。アップグレードがすぐに利用できない場合は、WAF (Web Application Firewall) またはプロキシサーバーを使用して、悪意のあるファイルアップロードを試みるトラフィックをブロックすることを検討してください。また、Cisco ISEのログを監視し、不審なアクティビティを検出するためのカスタムシグネチャを作成することも有効です。アップグレード後、システムが正常に動作していることを確認し、脆弱性が修正されていることを検証してください。