思科ISE关键漏洞影响AWS、微软Azure及Oracle云基础设施部署

漏洞概况

思科已修复身份服务引擎（Identity Services Engine，ISE）中的一项关键漏洞（CVE-2025-20286，CVSS评分9.9），该漏洞存在于AWS、微软Azure和Oracle云基础设施（OCI）的云部署环境中，可能允许未经认证的攻击者执行恶意操作。攻击者可借此访问敏感数据、执行受限管理操作、修改配置或中断服务。

漏洞原理

当思科ISE系统在相同软件版本和云平台（AWS/Azure/OCI）上部署时，会生成完全相同的凭证。这意味着不同部署实例可能共享相同的登录凭据。攻击者可通过从某个ISE实例提取凭证，进而访问其他实例，最终获取敏感数据、更改设置或破坏服务。

思科在安全公告中指出："该漏洞源于云平台部署思科ISE时凭证生成机制存在缺陷，只要软件版本和云平台相同，不同部署就会共享凭证。攻击者可通过提取云环境中的ISE用户凭证，经由未受保护端口访问其他云环境的ISE系统。成功利用漏洞可导致攻击者访问敏感数据、执行受限管理操作、修改系统配置或中断受影响系统服务。"

影响范围

该漏洞由GMO Cybersecurity的安全研究员川根健太郎发现。思科PSIRT确认已存在概念验证代码，但尚未发现野外的实际攻击案例。受影响版本及修复方案如下：

缓解措施

虽然该云部署漏洞没有直接解决方案，但思科提供了重要缓解建议：

通过云安全组或ISE界面，仅允许受信任的源IP地址访问

对于新安装环境，建议在云主节点执行application reset-config ise命令生成新凭证（注意：此操作将恢复出厂设置，从备份还原会重新引入原始凭证）

原文来自: securityaffairs.com