🛡 概要
2025年6月25日に公開されたCVE-2025-20281は、Cisco Identity Services Engine(ISE)における重大な認証なしリモートコード実行脆弱性です。この脆弱性はISEとISE-PICのバージョン3.3および3.4に影響を及ぼし、攻撃者は任意のファイルをターゲットシステムにアップロードし、ルート権限で実行することが可能です。脆弱性の根本原因は、enableStrongSwanTunnel()メソッドにおける安全でないデシリアライズとコマンドインジェクションにあります。2025年7月22日には、Ciscoがこの脆弱性が攻撃に悪用されていると発表し、管理者に対してセキュリティアップデートの適用を強く促しました。
🔍 技術詳細
この脆弱性は、CVE-2025-20281(コマンドインジェクション)とCVE-2025-20337(デシリアライズ)に分解されます。特に、Gould氏によると、攻撃者はシリアライズされたJavaのString[]ペイロードを用いて、Cisco ISEにおけるコマンドインジェクションの脆弱性をトリガーすることができます。これにより、攻撃者はDockerコンテナ内でルート権限で任意のコマンドを実行することが可能になります。さらに、Gould氏はcgroupsとrelease_agentに基づくLinuxコンテナのエスケープ技術を用いて、特権のあるDockerコンテナからホストシステムへのルートアクセスを獲得する方法も示しています。この情報は、スキルのあるハッカーにとって、完全なエクスプロイトを再現するために必要な技術的詳細を提供します。
⚠ 影響
CVE-2025-20281およびCVE-2025-20337の脆弱性は、Cisco ISEを利用している多くの組織にとって重大なリスクをもたらします。これらの脆弱性が悪用されると、攻撃者はシステムへの不正アクセスを行い、情報漏洩やサービスの停止を引き起こす可能性があります。特に、攻撃者はルート権限を取得することで、システム全体を掌握し、さらなる攻撃を行う足がかりとすることができます。すでに攻撃が確認されているため、未対応のシステムにおいては、さらなる被害が拡大する恐れがあります。
🛠 対策
これらの脆弱性に対する明確な回避策は存在しないため、Ciscoが発表したパッチを適用することが最も重要です。具体的には、ISEバージョン3.3のPatch 7およびバージョン3.4のPatch 2を適用することが推奨されます。これにより、攻撃者による悪用を防ぐことができます。管理者は、システムのセキュリティを確保するために、定期的にソフトウェアの更新を行い、最新のセキュリティ情報を確認することが求められます。脆弱性への迅速な対応が、企業の情報資産を守るための鍵となります。
