Krytyczna podatność w Cisco ISE – “losowe” poświadczenia nie do końca losowe

Cisco ISE (Identity Services Engine) to rozwiązanie łączące cechy NAC (Network Access Control) i AAA (Authentication, Authorization, and Accounting) – pozwala na realizację polityk dostępu do sieci oraz segmentację. Występuje zarówno w wersjach on-prem oraz cloud. 

04 czerwca 2025, w biuletynie producenta, pojawiła się informacja o krytycznej podatności oznaczonej jako CVE-2025-20286, dotykająca ISE w wersji cloudowej. Podatność dotyczy wszystkich rodzajów deploymentu (AWS, Azure, OCI) i pozwala atakującemu na uzyskanie dostępu do systemu (a w konsekwencji umożliwia wprowadzanie zmian w systemie, wykonywanie niektórych administracyjnych operacji). Błąd został “wyceniony” na 9.9 w skali CVSS i dotyczy wersji Cisco ISE 3.1 (tylko AWS), 3.2, 3.3 i 3.4, Dostępny jest PoC, ale na razie brak jest informacji o wykorzystaniu tej podatności przez cyberprzestępców. 

Wszystkiemu winny jest proces bootstrapowania/instalacji w systemach chmurowych – błędna implementacja mechanizmu generowania poświadczeń użytkownika powoduje, że hasła użytkowników nie różnią się między tymi samymi wersjami.

These credentials are shared across multiple Cisco ISE deployments as long as the software release and cloud platform are the same.

Podatność występuje tylko wtedy, kiedy Primary Administration node jest uruchomiony w środowisku chmurowym. W przeciwnym razie podatność nie występuje. 

Producent przygotował wymagane łatki i sugeruje aktualizację. W przypadku braku możliwości aktualizacji zalecane jest zastosowanie whitelisty adresów, które mogą być wykorzystywane do zarządzania ISE. Ponadto dla nowych instalacji zalecane jest uruchomienie polecenia application reset-config ise, które pozwoli zmienić hasło użytkownika (uwaga, to polecenie resetuje ISE do ustawień fabrycznych, zalecane jest wykonywanie poleceń tylko na nowych lub zbackupowanych instancjach). 

~Black Hat Logan