吳明宜思科 (Cisco) 本周釋出修補程式,解決一其身份服務引擎 (Identity Services Engine, ISE) 上一個可能讓攻擊者在受害系統上進行惡意活動的重大安全漏洞。
該漏洞編號 CVE-2025-20286 為一靜態憑證漏洞,CVSS 3.1 風險值達到 9.9 。
根據思科安全公告,執行在 Amazon Web Services (AWS) 、 Azure 與 Oracle Infrastructure (OCI) 等雲端環境的 Cisco ISE,可能被未授權的遠端攻擊者存取敏感資料、執行有限的管理員操作、修改系配置,或擾亂受害系統上的服務。
GMO Cybersecurity 研究人員 Kentaro Kawane 向思科通報這項漏洞,他說已發現概驗證漏洞,但思科說沒有被惡意濫用的跡象。
本漏洞出在 Cisco ISE 部署在雲端平台時憑證產出方式不當,導致只要軟體版本和雲端平台相同時,不同執行個體也能使用同一憑證來驗證。也就是說,靜態憑證是每個軟體版本和平台獨有,但不是跨平台通用。例如 AWS 上 Cisco ISE 3.1 版的所有執行個體的靜態憑證是相同的,但無法用於 3.2 版的執行個體。另一方面,AWS 上 ISE 3.2 版的憑證和 Azure 上 ISE 3.2 版憑證也不同。
成功濫用本漏洞可讓攻擊者從 Cisco ISE 雲端執行個體汲取出用戶憑證,再透過不安全的傳輸埠來存取其他雲端上的 ISE 。最終就能非授權存取隱私資料、執行有限管理員操作、變更系統配置或是擾亂服務。
不過本漏洞只影響主要管理員節點部署在雲端的環境。若節點在本地部署環境就不受影響。 AWS 、 Azure 及 OCI 上的 Cisco ISE 3.1 、 3.2 、 3.3 和 3.4 上的執行個體都受影響。
CVE-2025-20286 沒有替代解決方案,若未能安裝更新,思科建議用戶僅允許經授權的管理員流量存取,或執行 application reset-config ise 指令重設用戶密碼。但請注意,該指令也會重設 Cisco ISE 為出廠設定。