Поделиться
Критическая «дыра» в Cisco бьет по Microsoft Azure, Amazon Web Services и облакам Oracle
Проблема затрагивает ресурсы Amazon Web Services, Microsoft Azure и Oracle Cloud Infrastructure, везде, где установлено решение Cisco. Виртуализированные среды, впрочем, в безопасности.
Ключ от всех замков - это плохой ключ
Компания Cisco выпустила исправления для критической уязвимости в системе Identity Services Engine (платформа идентификационных служб), которые позволяли осуществлять ряд вредоносных действий в уязвимых системах.
Под угрозой оказались облачные комплексы Amazon Web Services (AWS), Microsoft Azure и Oracle Cloud Infrastructure (OCI), по крайней мере, те из них, которые используют Cisco ISE.
Уязвимость получила оценку 9,9 баллов по шкале угроз CVSS, что соответствует практически максимальному уровню.
Согласно описанию в бюллетене Cisco, потенциальный злоумышленник может, в обход какой-либо аутентификации, получать удаленный доступ к значимой информации, осуществлять ограниченный набор административных операций, менять настройки или нарушать нормальное функционирование затронутых систем.
Вендор указывает сотрудника компании GMO Cybersecurity в качестве первооткрывателя уязвимости и отмечает, что демонстрационный эксплойт уже существует. В то же время пока что нет информации о том, что кто-либо предпринимал какие бы то ни было успешные попытки эксплуатировать эти уязвимости.
Как выяснилось, дефект, получивший индекс CVE-2025-20286 вызван некорректной генерацией реквизитов доступа при развертывании в облачных ресурсах. При каждой новой установке должны формироваться уникальные реквизиты, но на деле это не так.
Как оказалось, одни и те же реквизиты доступа, сгенерированные при установке Cisco ISE в облачный ресурс, будут срабатывать для каждой новой установки этой платформы при условии, что используется одно и то же ПО: т.е., если речь идет об одной и той же версии ISE и одном и том же облачном решении. Попросту говоря, для всех развертываний Cisco ISE версии 3.2 в облаке AWS действительными будут одни и те же реквизиты доступа, даже если пользователи разные.
Если используется другая версия ISE, например, 3.3, реквизиты от 3.2 не сработают.
«Это в любом случае промах на грани катастрофического, притом, что, скорее всего, проблема «унаследована» из какой-либо недопроверенной сторонней библиотеки», - полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «В любом случае, заповедь номер один в сфере кибербезопасности - это всегда задавать уникальные пароли самостоятельно, и не доверяться слепо «заводским» средствам автоматической генерации».
Уязвимые и неуязвимые
Уязвимость затрагивает версии Cisco ISE с индексами 3.2-3.4 для всех трех облачных решений - AWS, Azure и OCI. В AWS уязвимой является и версия 3.1.
Механизмов промежуточной защиты нет. Cisco рекомендует всем пользователям ограничить трафик для всех, кроме отдельных администраторов или запустить процедуру тотального обновления паролей через команду application reset-config ise. Впрочем, эта команда сбрасывает все настройки ISE до заводских значений.
Вендор уже выпустил обновления
Стоит отметить, что уязвимость не затрагивает локальные развертывания Cisco ISE, где платформа установлена через Cisco Software Download Center и где фигурируют виртуальные среды.
В частности, ISE в Azure VMware Solution, Google Cloud VMware Engine и облаке VMware в AWS не содержат этой проблемы. Установки ISE, где аккаунты администраторов размещены локально, а все прочие - в облаке, также не подвержены этой уязвимости.
Короткая ссылка
