Een ernstig beveiligingslek in Cisco Identity Services Engine (ISE) die draait op Amazon Web Services (AWS), Microsoft Azure en Oracle Cloud Infrastructure (OCI), maakt het mogelijk voor kwaadwillenden op afstand om toegang te krijgen tot gevoelige gegevens en systeeminstellingen aan te passen.
De kwetsbaarheid, aangeduid als CVE-2025-20286, heeft een CVSS-score van 9.9 op een schaal van 10. Dit schrijft Darkreading. Het probleem ontstaat doordat Cisco ISE bij installatie in de cloud foutieve gebruikersgegevens genereert. Hierdoor delen verschillende implementaties van Cisco ISE op dezelfde softwareversie en cloudplatform identieke inloggegevens.
Onderzoekers geven aan dat kwaadwillenden deze statische wachtwoordkwetsbaarheid kunnen misbruiken door de gebruikersgegevens van een cloudgebaseerde Cisco ISE te bemachtigen. Daarmee kunnen ze vervolgens inloggen op andere Cisco ISE-systemen die draaien op vergelijkbare cloudomgevingen via onbeveiligde poorten.
Volgens de onderzoekers maakt een geslaagde aanval het mogelijk voor een aanvaller om gevoelige data in te zien en om beperkte beheertaken uit te voeren, instellingen te wijzigen of systemen te verstoren.
De getroffen platforms zijn:
- AWS-versies 3.1 t/m 3.4
- Azure-versies 3.2 t/m 3.4
- Oracle Cloud (OCI)-versies 3.2 t/m 3.4
Mitigerende maatregelen
Er zijn geen tijdelijke oplossingen die deze kwetsbaarheid volledig verhelpen. Wel zijn er enkele mitigerende maatregelen beschikbaar, meldt Cisco.
- Sta bron-IP-adressen toe via Cloud Security Groups: Door alleen de IP-adressen van klantbeheerders toe te staan die gebruikmaken van security groups op cloudplatformen, wordt de toegang beperkt tot bevoegde beheerders nog voordat het verkeer de Cisco ISE-instantie bereikt. Dit blokkeert effectief kwaadaardige verbindingen.
- Sta bron-IP-adressen toe in Cisco ISE: Via de gebruikersinterface van Cisco ISE kunnen de IP-adressen van klantbeheerders worden toegestaan.
Bij nieuwe installatie kan het commando application reset-config ISE worden uitgevoerd om gebruikerswachtwoorden opnieuw in te stellen. Dit commando hoeft alleen te worden uitgevoerd op de node met de Primary Administration persona in de cloud. Secundaire nodes hoeven niet te worden gereset. Als de Primary Administration persona on-premises draait, is het niet nodig het commando uit te voeren.
Hoewel deze mitigerende maatregelen met succes zijn getest in een testomgeving, moeten klanten zelf beoordelen of deze maatregelen toepasbaar en effectief zijn binnen hun eigen netwerk en gebruiksomstandigheden. Klanten dienen zich ervan bewust te zijn dat het implementeren van tijdelijke oplossingen of mitigerende maatregelen een negatieve impact kan hebben op de werking of prestaties van hun netwerk, afhankelijk van hun specifieke implementatie en beperkingen. Het is belangrijk om geen maatregelen te implementeren zonder eerst de impact op de eigen omgeving zorgvuldig te evalueren.
Cisco bevestigt dat er een proof-of-concept bestaat voor de kwetsbaarheid, maar er zijn vooralsnog geen aanwijzingen dat het lek daadwerkelijk is misbruikt in praktijkomgevingen.