Büyük bulut platformlarında konuşlandırıldığında kimlik hizmetleri motorunu (ISE) etkileyen kritik bir güvenlik açığı, kavram kanıtı istismar kodunun artık herkese açık olduğunu uyarın.
CVSS skoru 9.9 ile CVE-2025-20286 olarak izlenen kusur, kimlik doğrulanmamış uzak saldırganların hassas verilere erişmesini ve yanlış oluşturulan statik kimlik bilgileri nedeniyle birden fazla bulut dağıtımında yönetici işlemleri yürütmesini sağlar.
Güvenlik açığı, Amazon Web Services (AWS), Microsoft Azure ve Oracle Cloud Altyapı (OCI) ‘deki bulut platformu dağıtımları sırasında Cisco Ise’nin nasıl kimlik bilgileri oluşturduğu konusunda temel bir güvenlik kusurundan kaynaklanmaktadır.
.png
)
Cisco Ise kimlik bilgisi güvenlik açığı
Cisco’nun danışmanlığına göre sorun var çünkü “Cisco Ise bulut platformlarında konuşlandırılırken kimlik bilgileri yanlış üretiliyor ve bu da aynı kimlik bilgilerini paylaşan farklı Cisco ISE dağıtımlarına neden oluyor”.
Paylaşılan kimlik bilgisi problemi platform ve sürüme özgüdür, yani aynı bulut platformunda aynı ISE sürümünün tüm örnekleri aynı kimlik doğrulama kimlik bilgilerini kullanır.
Örneğin, AWS’de 3.1 sürümünün her dağıtımı aynı statik kimlik bilgilerini paylaşırken, aynı kimlik bilgileri Azure dağıtımları veya farklı yazılım sürümleri üzerinde çalışmaz.
Bu tasarım kusuru, bir ISE dağıtımından kimlik bilgilerini çıkaran saldırganların, aynı bulut platformunda aynı yazılım sürümünü çalıştıran diğer ISE örneklerine teminatsız bağlantı noktaları aracılığıyla potansiyel olarak erişmesine olanak tanır.
Güvenlik açığı, Ierae tarafından GDO siber güvenlikten Kentaro Kawane tarafından keşfedildi ve bildirildi.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Cisco ISE 3.1-3.4 AWS (3.1-3.4), Azure (3.2-3.4) veya OCI’da (3.2-3.4) birincil uygulama düğümleriyle konuşlandırmalar |
| Darbe | Hassas Verilere Erişim |
| Önkoşuldan istismar | Saldırgan, Bulut Yönetimi Arabirimine Ağ Erişimini ve Eşleştirme için Statik Kimlik Bilgileri Bilgisi gerektirir. |
| CVSS 3.1 puanı | 9.9 (kritik) |
Etkilenen sistemler
Güvenlik açığı, Cisco ISE’nin 3.1 ila 3.4’ü açıklar ve belirli platform kapsamı bulut sağlayıcısı tarafından değişir.
AWS dağıtımları 3.1, 3.2, 3.3 ve 3.4 sürümleri arasında savunmasızdır, Azure ve OCI platformları 3.2 ila 3.4 sürümlerinden etkilenir.
Kritik olarak, güvenlik açığı yalnızca birincil yönetim düğümünün bulutta bulunduğu dağıtımları etkiler; Şirket içi birincil uygulama düğümleri etkilenmez.
Cisco, Cisco Yazılım İndirme Merkezi’nden ISO veya OVA kurulumlarını kullanan geleneksel şirket içi dağıtımlarının, aletler ve sanal makineler de dahil olmak üzere savunmasız olmadığını doğruladı.
Ayrıca, şirket içi bulunan tüm ISE Yönetici Personas ile hibrit dağıtımlar ve Azure VMware Solution (AVS) ve Google Cloud VMware motoru gibi özel bulut yapılandırmaları güvenli kalır.
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), vahşi doğada kötü niyetli sömürü hakkında hiçbir farkındalık bildirmese de, “Kavram Kanıtı Sömürü Kanıtı Kodu’nun mevcut olduğunu” kabul etmiştir.
Yatırılmış yamalar
Cisco, etkilenen 3.1 ila 3.4 sürümlerinde güvenlik açığını ele alan “Ise-Apply-cscwn63400_3.1.x_patchall-spa.tar.gz” olarak tanımlanan kapsamlı bir sıcak düzeltme yayınladı.
Uzun vadeli çözümler için şirket, Kasım 2025’te planlanan 3.3p8 sürümü, Ekim 2025 için 3.4P3 sürümü ve 2025 Ağustos için planlanan yeni 3.5 sürümle kalıcı düzeltmeler planlıyor.
Kuruluşlar, kaynak IP adreslerini yetkili yöneticilerle kısıtlayacak ve Cisco ISE’nin yerleşik IP izin verme özelliklerini kullanarak bulut güvenlik gruplarını yapılandırarak anında hafifletmeler uygulayabilir.
Yeni kurulumlar için Cisco, yeni kimlik bilgileri oluşturmak için birincil yönetim düğümlerinde “Uygulama Sıfırlama-Config ISE” komutunu çalıştırmanızı önerir, ancak bu komut ISE’yi fabrika yapılandırmasına sıfırlar ve dikkatli bir şekilde değerlendirilmeyi gerektirir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği