CRITICAL✓ PATCH🇬🇧 English

CVE-2025-20286

Cisco ISE w chmurze: współdzielone statyczne poświadczenia umożliwiają nieautoryzowany dostęp

CVSS 9.9v3.1pub. 2025-06-04upd. 2025-10-15

Podatność w Cisco Identity Services Engine (ISE) wdrożonym w chmurach AWS, Microsoft Azure i Oracle Cloud Infrastructure powoduje, że różne instancje ISE współdzielą te same statycznie wygenerowane poświadczenia. Nieuwierzytelniony zdalny atakujący może wykorzystać te poświadczenia do uzyskania dostępu do cudzych środowisk ISE, modyfikacji konfiguracji lub zakłócenia działania usług.

Pokaż oryginał (EN)

A vulnerability in Amazon Web Services (AWS), Microsoft Azure, and Oracle Cloud Infrastructure (OCI) cloud deployments of Cisco Identity Services Engine (ISE) could allow an unauthenticated, remote attacker to access sensitive data, execute limited administrative operations, modify system configurations, or disrupt services within the impacted systems. This vulnerability exists because credentials are improperly generated when Cisco ISE is being deployed on cloud platforms, resulting in different Cisco ISE deployments sharing the same credentials. These credentials are shared across multiple Cisco ISE deployments as long as the software release and cloud platform are the same. An attacker could exploit this vulnerability by extracting the user credentials from Cisco ISE that is deployed in the cloud and then using them to access Cisco ISE that is deployed in other cloud environments through unsecured ports. A successful exploit could allow the attacker to access sensitive data, execute limited administrative operations, modify system configurations, or disrupt services within the impacted systems. Note: If the Primary Administration node is deployed in the cloud, then Cisco ISE is affected by this vulnerability. If the Primary Administration node is on-premises, then it is not affected.

🤖 Analiza AI
Jak działa

Podatność (CWE-259: użycie zakodowanych na stałe haseł) wynika z nieprawidłowego mechanizmu generowania poświadczeń podczas wdrażania Cisco ISE na platformach chmurowych. Wszystkie instancje ISE działające na tej samej wersji oprogramowania i tej samej platformie chmurowej otrzymują identyczne poświadczenia. Atakujący może wyekstrahować te poświadczenia z dostępnej mu instancji ISE, a następnie użyć ich do połączenia się z innymi instancjami ISE przez niezabezpieczone porty. Podatność dotyczy wyłącznie wdrożeń, w których Primary Administration Node (PAN) jest hostowany w chmurze — wdrożenia z PAN on-premises nie są zagrożone.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na nieuprawniony dostęp do wrażliwych danych, wykonanie ograniczonych operacji administracyjnych, modyfikację konfiguracji systemowych oraz zakłócenie działania usług w dotkniętych środowiskach ISE.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-aws-static-cred-FPMjUcm7. Jako środek zaradczy należy zweryfikować, czy Primary Administration Node jest wdrożony w chmurze, i w razie potrzeby rozważyć przeniesienie go do środowiska on-premises. Należy również zabezpieczyć odpowiednie porty komunikacyjne na poziomie sieciowym.

Kogo dotyczy

Cisco Identity Services Engine (ISE) wdrożony w chmurach Amazon Web Services (AWS), Microsoft Azure oraz Oracle Cloud Infrastructure (OCI), w przypadku gdy Primary Administration Node jest hostowany w środowisku chmurowym. Szczegółowe informacje o wersjach dostępne w referencjach producenta.

Uwagi

Podatność dotyczy wyłącznie instancji Cisco ISE z Primary Administration Node wdrożonym w chmurze (AWS, Azure, OCI). Instancje z PAN on-premises nie są podatne, nawet jeśli pozostałe węzły działają w chmurze.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:H
  • Amazon Web Services

    APP
    Amazon
    wszystkie wersje
  • Cisco Identity Services Engine

    APP
    Cisco
    3.1.03.2.03.3.03.4.0
  • Microsoft Azure

    OS
    Microsoft
    wszystkie wersje
  • Oracle Cloud Infrastructure

    APP
    Oracle
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-20337CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Nieuwierzytelniony RCE jako root w Cisco ISE i ISE-PIC poprzez API

CVE-2025-20281CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Cisco ISE / ISE-PIC — nieuwierzytelniony RCE przez API jako root

CVE-2026-20181CRITICAL9.1ten sam produkt

A vulnerability in Cisco ISE and ISE-PIC could allow an authenticated, remote attacker to execute arbitrary co...

CVE-2026-20186CRITICAL9.9PL ✓ten sam produkt

RCE w Cisco ISE — eskalacja uprawnień do root przez HTTP

CVE-2025-20282CRITICAL10.0PL ✓ten sam produkt

Nieautoryzowany RCE jako root w Cisco ISE i ISE-PIC