はじめに
シスコは、Cisco Identity Services Engine (ISE) および Cisco ISE Passive Identity Connector (ISE-PIC) に、認証済み管理者による基盤となるオペレーティングシステムからの機密データ読み取りを可能にする新たなXML外部エンティティ(XXE)脆弱性を公表しました。この脆弱性はCVE-2026-20029として追跡され、CVSSスコアは4.9(中程度)と評価されていますが、ISEが中央のポリシーおよびID制御プレーンとして機能する環境では、その影響は重大です。
脆弱性の詳細
Ciscoのセキュリティアドバイザリcisco-sa-ise-xxe-jWSbSDKtによると、この問題はWebベースの管理インターフェースを通じて公開されているライセンス機能内のXMLの不適切な解析に起因します。有効な管理者の認証情報を持つ攻撃者は、悪意のあるファイルをアップロードし、XML解析を悪用してホストOS上の任意のファイルを読み取ることができます。
シスコは、この脆弱性により、正規の管理者であってもアクセスすべきではないデータが露呈する可能性があると指摘しており、通常の構成開示以上のリスクを高めています。
影響と悪用の可能性
この脆弱性の悪用には認証済み管理者アクセスが必要であるため、単独で外部からの認証されていない侵害を可能にするものではありません。しかし、実環境では、ISEおよびISE-PICは、IDストア、ネットワークアクセス制御、監視システムと統合された高価値のインフラストラクチャコンポーネントとして運用されることがよくあります。
攻撃者がすでにフィッシング、クレデンシャルスタッフィング、またはラテラルムーブメントなどを介して管理者の認証情報を取得している場合、このバグは、アプライアンスに存在する構成データ、ログ、その他の保存されたシークレットなどの機密ファイルを収集する直接的な経路を提供します。
影響を受けるバージョンと修正
シスコは、固定ビルド以前のすべてのサポートされているCisco ISEおよびISE-PICリリースが、構成に関わらず影響を受けることを確認しています。以下の修正済みリリースが利用可能です。
- 3.2より前のバージョン: 修正済みリリースへの移行
- 3.2: 3.2 Patch 8
- 3.3: 3.3 Patch 8
- 3.4: 3.4 Patch 4
- 3.5: 脆弱性の影響を受けません
この問題に対する回避策が存在しないため、シスコは顧客に対し、何らかの軽減策に頼るのではなく、アップグレードすることを強く推奨しています。
緊急性と推奨される対策
Cisco Product Security Incident Response Team (PSIRT) は、CVE-2026-20029に対する概念実証(PoC)エクスプロイトコードがすでに公開されていると報告しています。シスコは現時点では悪意のあるアクティブな悪用は認識していませんが、PoCコードの存在は脅威アクターによる悪用の障壁を大幅に下げ、防御者にとって迅速な対応の緊急性を高めています。
公開されている回避策や設定のみによる軽減策はないため、組織は機能の切り替えや部分的な強化に頼ることはできません。完全な修復には、修正済みソフトウェアリリースへのアップグレードが必要です。
それまでの間、運用者はISEおよびISE-PICへの管理アクセスを厳密に制限および監視し、管理インターフェースが信頼されていないネットワークに公開されていないことを確認し、ISE管理者アカウントに関する認証、MFA強制、およびロギングをレビューすべきです。
この脆弱性はCisco Bug ID CSCwq79739に関連付けられており、CWE-611(XML外部エンティティ参照の不適切な制限)に分類されています。これは、XMLパーサーが不適切に強化された場合、重要なインフラストラクチャプラットフォームでのデータ流出の強力な手段となることを改めて強調しています。
多くの企業のアクセス制御アーキテクチャにおいてISEが中心的な役割を担っていることを鑑み、組織はパッチ適用スケジュールを優先し、現在のISEバージョンをシスコの固定リリース表と照合して確認し、この新たな機密データ露出の経路を排除するために即時アップグレードを計画するよう強く求められています。