Cisco telah merilis patch keamanan untuk mengatasi cacat keamanan kritis yang berdampak pada mesin layanan identitas (ISE) yang, jika berhasil dieksploitasi, dapat memungkinkan para aktor yang tidak jujur untuk melakukan tindakan jahat pada sistem yang rentan.
Cacat keamanan, dilacak sebagai CVE-2025-20286membawa skor CVSS 9,9 dari 10,0. Ini telah digambarkan sebagai kerentanan kredensial statis.
“Kerentanan di Amazon Web Services (AWS), Microsoft Azure, dan Oracle Cloud Infrastructure (OCI) penyebaran cloud Cisco Identity Services Engine (ISE) dapat memungkinkan penyerang jarak jauh yang tidak aautitikasi, atau mengakses sistem yang terkena dampaknya,” Operasi Administratif yang Terbatas, memodifikasi konfigurasi sistem, atau layanan gangguan di dalam sistem yang terkena dampak, “Operasi Administratif Terbatas, memodifikasi sebuah konfigurasi sistem, atau layanan gangguan yang berdampak,” Operasi Administrasi Terbatas, memodifikasi sebuah konfigurasi sistem, atau layanan gangguan di dalam sistem yang terkena dampak yang dampak dari perusahaan yang terkena dampaknya, “Kata Perusahaan.
Pembuat Peralatan Jaringan, yang mengkredit Kentaro Kawane dari Cybersecurity GMO karena melaporkan cacat, mencatat bahwa ia menyadari adanya eksploitasi Proof-of-Concept (POC). Tidak ada bukti bahwa itu telah dieksploitasi dengan jahat di alam liar.
Cisco mengatakan masalah ini berasal dari fakta bahwa kredensial dihasilkan secara tidak benar ketika Cisco ISE sedang digunakan pada platform cloud, menyebabkan penyebaran yang berbeda untuk berbagi kredensial yang sama selama rilis perangkat lunak dan platform cloud adalah sama.
Dengan kata lain, kredensial statis khusus untuk setiap rilis dan platform, tetapi tidak valid di seluruh platform. Seperti yang disoroti perusahaan, semua contoh Cisco ISE Release 3.1 di AWS akan memiliki kredensial statis yang sama.
Namun, kredensial yang valid untuk akses ke penyebaran rilis 3.1 tidak akan valid untuk mengakses penyebaran rilis 3.2 pada platform yang sama. Selain itu, rilis 3.2 di AWS tidak akan memiliki kredensial yang sama dengan Release 3.2 di Azure.
Eksploitasi kerentanan yang berhasil dapat memungkinkan penyerang untuk mengekstraksi kredensial pengguna dari penyebaran cloud Cisco ISE dan kemudian menggunakannya untuk mengakses Cisco ISE yang digunakan di lingkungan cloud lainnya melalui port tanpa jaminan.
Ini pada akhirnya dapat memungkinkan akses yang tidak sah ke data sensitif, pelaksanaan operasi administrasi terbatas, perubahan konfigurasi sistem, atau gangguan layanan. Yang mengatakan, Cisco ISE hanya terpengaruh dalam kasus di mana simpul administrasi primer digunakan di cloud. Node administrasi primer yang di tempat tidak terpengaruh.
Versi berikut terpengaruh –
- AWS – Cisco ISE 3.1, 3.2, 3.3, dan 3.4
- Azure – Cisco ISE 3.2, 3.3, dan 3.4
- OCI – Cisco ISE 3.2, 3.3, dan 3.4
Meskipun tidak ada solusi untuk mengatasi CVE-2025-20286, Cisco merekomendasikan agar pengguna membatasi lalu lintas ke administrator yang berwenang atau menjalankan perintah “Aplikasi Reset-Config ISE” untuk mengatur ulang kata sandi pengguna ke nilai baru. Namun, perlu mencatat bahwa menjalankan perintah akan mengatur ulang Cisco Ise ke konfigurasi pabrik.
