ニュース
Cisco ISEに複数の「緊急」の脆弱性 回避策は提供されないため注意:セキュリティニュースアラート
Ciscoは、Cisco ISEに深刻度「緊急」の複数の脆弱性があると発表した。これらが悪用された場合、認証済みの攻撃者が任意のコマンドを実行したり、システムの設定を変更したりする可能性がある。
Cisco Systemsは2025年2月5日(現地時間)、ネットワークアクセス制御(NAC)およびセキュリティポリシーの統合管理プラットフォームである「Cisco Identity Services Engine」(Cisco ISE)に複数の深刻な脆弱(ぜいじゃく)性が見つかったと報告した。
これらの脆弱性が悪用された場合、認証済みの攻撃者が任意のコマンドを実行したり、システムの設定を変更したりする可能性がある。
Cisco ISEに深刻度「緊急」の複数の脆弱性 回避策の提供はなし
報告されている脆弱性のCVE情報は以下の通りだ。
- CVE-2025-20124: 不適切なJavaデシリアライズの脆弱性。Cisco ISEの特定のAPIにおける不適切なデシリアライズ処理に起因する。攻撃者は細工されたJavaオブジェクトを送信することで、影響を受けるデバイス上でroot権限で任意のコマンドを実行することが可能となる。共通脆弱性評価システム(CVSS)v3.1のスコア値は9.9とされ、深刻度は緊急(Critical)と位置付けられている
- CVE-2025-20125: 認証バイパスの脆弱性。Cisco ISEの特定のAPIに適切な認可チェックが実装されていないことに起因する。攻撃者は細工されたHTTPリクエストを送信することで、機密情報の取得、ノード設定の変更、デバイスの再起動などが可能になる。CVSS v3.1のスコア値は9.1とされ、深刻度は緊急(Critical)と位置付けられている
脆弱性が修正されたバージョンは以下の通りだ。
- Cisco ISE 3.1P10
- Cisco ISE 3.2P7
- Cisco ISE 3.3P4
なおCisco ISE 3.0以前のバージョンを使用している場合は修正済みバージョンへの移行が推奨される。またCisco ISE 3.4はこの脆弱性の影響を受けないことが確認されている。
同脆弱性に対する回避策は提供されていないため、影響を受けるユーザーは速やかに修正済みバージョンにアップデートを実施することが推奨される。この脆弱性を悪用した攻撃の報告はないが今後の攻撃リスクを考慮し、早急な対策が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ChatGPTにマルウェアを作らせる 新たな脱獄手法「Time Bandit」の詳細
ChatGPTの新たな脱獄手法「Time Bandit」が発見された。時間的混乱を利用することで、マルウェアの開発方法など、本来提供されるべきでない情報を引き出すことが可能とされている。
情報セキュリティ10大脅威2025年版が公開 新たに加わった2つの脅威に注目
IPAから2025年版の「情報セキュリティ10大脅威」が公開されました。「組織編」では今回、前年と比較して新たに2つの脅威がランクインしています。このコラムではこれを踏まえて注目すべき脅威とその対策を考えます。
7-Zipに深刻な脆弱性 悪用でWindowsのセキュリティ機能「MoTW」を回避可能
7-Zipに深刻な脆弱性が見つかった。これを悪用すると、Windowsのセキュリティ機能「MoTW」(Mark-of-the-Web)を回避し、被害者のユーザーコンテキスト内で任意のコードを実行できるという。
「DNSよく分からん勢」に送る サブドメイン乗っ取り事案から考えるASMの本質
JPRSが「サブドメインの乗っ取り」に関する注意喚起を公開しました。これは非常に深刻な問題ですが、「DNS周辺はよく分からん」という人も多く、対策するには重い腰を上げなければならないのも事実。そんな人に向けてやるべきことをお伝えします。