Cisco waarschuwt voor kwetsbaarheid in cloudsystemen
De fout komt voor in versies van ISE die op AWS, Microsoft Azure en Oracle Cloud Infrastructure draaien. De kwetsbaarheid (aangeduid als CVE-2025-20286) heeft een CVSS-score van 9.9 en wordt als kritiek bestempeld. Volgens beveiligingsplatform DarkReading ontstaat het probleem doordat bepaalde cloudinstallaties van ISE bij de opstartfase identieke gebruikersaccounts aanmaken. Daardoor delen meerdere installaties dezelfde logingegevens op verschillende systemen.
Dat laat aanvallers toe om via een bekende gebruikerscombinatie in te breken op andere Cisco ISE-instanties die op een vergelijkbaar cloudplatform draaien. De toegang kan worden verkregen via onbeveiligde netwerkpoorten, zo melden onderzoekers. Een succesvolle aanval geeft de indringer niet alleen toegang tot vertrouwelijke gegevens, maar ook de mogelijkheid om wijzigingen aan te brengen aan configuraties of om delen van het systeem te verstoren.
Lek nog niet uitgebuit
Cisco bevestigde verder dat er een proof-of-concept voor de kwetsbaarheid bestaat, maar geeft aan dat er tot nu toe geen meldingen zijn van daadwerkelijke aanvallen via dit lek. De fout houdt risico’s in voor installaties van AWS (versie 3.1 tot en met 3.4), Azure (versie 3.2 tot en met 3.4) en Oracle Cloud (versie 3.2 tot en met 3.4).
Er is nog geen officiële patch uitgebracht. Cisco komt in de tussentijd met enkele voorzorgsmaatregelen. Zo kunnen organisaties de toegang tot hun ISE-instanties beperken door specifieke IP-adressen toe te laten via zogeheten cloud security groups. Ook binnen ISE zelf is het mogelijk om IP-whitelisting toe te passen.
Bij nieuwe installaties kan daarnaast het commando application reset-config ise worden gebruikt om unieke wachtwoorden te genereren. Dat moet enkel uitgevoerd worden op de primaire administratie-node in de cloud. Wanneer deze hoofdnode lokaal draait, is de maatregel niet nodig.
