シスコ、Identity Services Engineの脆弱性をパッチ。公開されたエクスプロイトコードに注意喚起
シスコは、ネットワークアクセス制御ソリューションであるIdentity Services Engine (ISE)において、管理者権限を持つ攻撃者によって悪用され得る脆弱性に対するパッチを公開しました。この脆弱性に対する公開された概念実証(PoC)エクスプロイトコードの存在も確認されており、企業は早急な対応が求められています。
脆弱性の詳細:CVE-2026-20029
この脆弱性(CVE-2026-20029)は、Cisco Identity Services Engine (ISE) および Cisco ISE Passive Identity Connector (ISE-PIC) の両方に影響を与えます。設定に関わらず影響を受ける可能性があり、リモートの特権の高い攻撃者は、パッチが適用されていないデバイス上で機密情報にアクセスするためにこれを悪用する可能性があります。
シスコによると、この脆弱性は、ISEおよびISE-PICのウェブベース管理インターフェースによって処理されるXMLの不適切なパースに起因します。攻撃者は悪意のあるファイルをアプリケーションにアップロードすることでこの脆弱性を悪用でき、結果として基盤となるオペレーティングシステムから任意のファイルを読み取ることが可能になります。これには、管理者にとってもアクセスできないはずの機密データが含まれる可能性があります。この脆弱性を悪用するには、有効な管理者認証情報が必要です。
シスコの対応と推奨されるパッチバージョン
シスコ製品セキュリティインシデント対応チーム(PSIRT)は、現時点での積極的な悪用の証拠は確認していないとしながらも、PoCエクスプロイトがオンラインで利用可能であると警告しています。
シスコは、「回避策や緩和策(該当する場合)は一時的な解決策である」と述べ、「将来のリスクを回避し、この脆弱性に完全に対処するためには、修正されたソフトウェアにアップグレードすることを強く推奨する」と強調しています。
影響を受けるバージョンと推奨されるパッチバージョンは以下の通りです:
- 3.2より前のリリース: 修正されたリリースへ移行
- 3.2: 3.2 Patch 8
- 3.3: 3.3 Patch 8
- 3.4: 3.4 Patch 4
- 3.5: 影響なし
その他のシスコ製品における脆弱性と脅威
シスコは、ISEの脆弱性対応と並行して、水曜日には複数のIOS XEの脆弱性にも対処しました。これらは、認証されていないリモート攻撃者がSnort 3 Detection Engineを再起動させてサービス拒否を引き起こしたり、Snortデータストリームの機密情報を取得したりする可能性がありました。ただし、これらについては公開されたエクスプロイトコードや積極的な悪用の兆候は確認されていません。
昨年11月には、Amazonの脅威インテリジェンスチームが、攻撃者が最大深刻度のCisco ISEゼロデイ脆弱性(CVE-2025-20337)を悪用してカスタムマルウェアを展開したと警告しています。この脆弱性は、認証されていない攻撃者が脆弱なデバイスで任意のコードを実行したり、root権限を取得したりする可能性がありました。
また、シスコは12月に、中国の脅威グループ「UAT-9686」が、まだパッチが提供されていない最大深刻度のCisco AsyncOSゼロデイ脆弱性(CVE-2025-20393)を悪用し、Secure Email and Web Manager (SEWM) および Secure Email Gateway (SEG) アプライアンスを標的とした攻撃を行っていると警告しました。CVE-2025-20393のセキュリティアップデートがリリースされるまで、シスコは顧客に対し、信頼できるホストへの接続制限、インターネットアクセスの制限、ファイアウォールの背後への配置などにより、脆弱なアプライアンスを保護・制限するよう助言しています。