Последняя уязвимость в Cisco Systems Identity Services Engine (ISE), которая может раскрыть конфиденциальную информацию злоумышленнику, требует смены учетных данных, а также установки исправления для устранения проблемы, заявляет эксперт.
Cisco ISE — это платформа контроля сетевого доступа, которая обеспечивает соблюдение политик доступа и управляет конечными точками.
В продуктах Cisco были и более критические уязвимости, признал Пэдди Харрингтон, старший аналитик Forrester Research, и эта требует наличия злоумышленника с административными привилегиями для выполнения атаки и получения доступа на чтение конфиденциальной информации. «Тем не менее», — посоветовал он старшим руководителям по информационной безопасности, использующим серверы Cisco ISE, — «не затягивайте с решением этих проблем».
Перед установкой исправлений, по его словам, администраторам следует:
- сменить учетные данные ISE для тех, у кого уже есть существующий и одобренный доступ;
- убедиться, что учетные данные есть только у тех, кому необходим доступ;
- сократить количество устройств, которые могут получить доступ к серверу ISE;
- установить исправление, как только появится возможность отключить сервер.
В своем уведомлении для клиентов Cisco сообщает, что уязвимость [CVE-2026-20029] в функциях лицензирования ISE и Cisco ISE Passive Identity Connector (ISE-PIC) может позволить прошедшему аутентификацию удаленному злоумышленнику с административными привилегиями получить доступ к конфиденциальной информации. Неясно, почему это называется уязвимостью функций лицензирования. Cisco не ответила на запрос о разъяснении к моменту публикации.
В бюллетене, где проблема описывается как средняя по критичности, с оценкой CVSS 4.9, говорится, что уязвимость вызвана некорректной обработкой XML, которая обрабатывается через веб-интерфейс управления Cisco ISE и Cisco ISE-PIC.
Йоханнес Ульрих, декан по исследованиям в SANS Institute, отметил: «Скорее всего, это уязвимость типа XML External Entity (XXE)». Он объяснил, что внешние сущности — это функция XML, которая предписывает парсеру либо считывать локальные файлы, либо обращаться к внешним URL-адресам. В данном случае злоумышленник может внедрить внешнюю сущность в файл лицензии, предписывая XML-парсеру прочитать конфиденциальный файл и включить его в ответ. По его словам, это распространенная уязвимость в XML-парсерах, которая обычно устраняется путем отключения обработки внешних сущностей.
Злоумышленник сможет получить доступ на чтение к конфиденциальным файлам, таким как файлы конфигурации, а возможно, и к учетным данным пользователей, добавил он. Ульрих также отметил, что администратор ISE может иметь доступ ко многим данным, но у него не должно быть доступа к учетным данным пользователей.
В рекомендациях Cisco говорится, что злоумышленник может использовать эту уязвимость, загрузив вредоносный файл в приложение: «Успешная эксплуатация может позволить злоумышленнику читать произвольные файлы из базовой операционной системы, которые могут содержать конфиденциальные данные, недоступные даже администраторам. Для использования этой уязвимости злоумышленник должен обладать действительными административными учетными данными».
Cisco заявила, что код для демонстрации эксплуатации этой уязвимости уже доступен, но на данный момент компании неизвестно о каком-либо злонамеренном использовании этой бреши.
В наши дни получить административные учетные данные несложно, заметил Харрингтон. «Грязный секрет, о котором мало кто хочет говорить, заключается в том, что в ИТ- и операционных службах безопасности слишком много систем остаются с учетными данными по умолчанию». Это особенно распространено, по его словам, для устройств, находящихся за брандмауэром, таких как серверы контроля сетевого доступа, поскольку администраторы полагают, что раз они находятся внутри сети, внешние хакеры не смогут до них добраться. Однако множество учетных данных может быть получено в результате компрометации приложений, где администраторы Cisco могли хранить пароли.
Связанный материал: Cisco предупреждает о трех критических уязвимостях ISE
По совпадению, сегодня исследователи из SCORadar опубликовали анализ хищений данных за 2025 год. Среди прочего, в нем отмечается, что кража учетных данных достигла нового максимума в прошлом году. Всего было украдено 388 миллионов учетных записей с десяти наиболее пострадавших платформ, включая Facebook, Google и Roblox.
Эта статья изначально была опубликована на NetworkWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/9
Bajan-score: 0.900263131
Автор – Howard Solomon
