CVE-2025-20286 Verwundbarkeitsexploit: Kritische Cisco ISE Schwachstelle betrifft AWS-, Microsoft Azure- und OCI-Cloud-Bereitstellungen
Eine kritische Schwachstelle in Cisco’s Identity Services Engine (ISE) ermöglicht es nicht authentifizierten Remote-Angreifern, sensible Informationen abzurufen und administrative Aktionen über verschiedene Cloud-Umgebungen durchzuführen, wenn sie ausgenutzt wird. Mit einem jetzt öffentlich zugänglichen PoC-Code-Exploit stellt die Schwachstelle, die als CVE-2025-20286 verfolgt wird, eine ernsthafte Bedrohung für globale Organisationen dar, die das entsprechende Cisco-Produkt auf beliebten Cloud-Plattformen wie AWS, Microsoft Azure und der Oracle Cloud Infrastructure (OCI) einsetzten.
Die Cybersecurity-Landschaft entwickelt sich weiter, zeigt einen wachsenden Trend bei kritischen CVEs, Zero-Day Schwachstellen und eine steigende Anzahl von in freier Wildbahn vorkommenden Angriffen, die auf hochwirksame Schwachstellen abzielen. Stand Juni 2025 wurden mehr als 20.000 Schwachstellen bekannt gegeben, was einem Anstieg von 16 % gegenüber dem gleichen Zeitraum im Vorjahr entspricht und die Notwendigkeit einer erhöhten Cyber-Wachsamkeit zur Abwehr von Cyber-Bedrohungen hervorhebt.
Registrieren Sie sich für die SOC Prime Plattform um Zugriff auf den globalen aktiven Bedrohungsfeed zu erhalten, der umsetzbare CTI und kuratierte Erkennungsalgorithmen bietet, um in freier Wildbahn auftretende Angriffe, die kritische Schwachstellen ausnutzen, rechtzeitig zu identifizieren und zu verhindern. Erkunden Sie eine umfangreiche Bibliothek von Sigma-Regeln, gefiltert nach dem Tag „CVE“ und unterstützt von einer vollständigen Produktsuite für fortschrittliche Bedrohungserkennung und -suche, indem Sie
Alle Erkennungen können über Dutzende von SIEM-, EDR- und Data-Lake-Technologien genutzt werden und sind auf das MITRE ATT&CK Framework für intelligente Bedrohungsuntersuchungen abgestimmt. Jede Regel ist angereichert mit CTI Links, Angriffstimeline, Audit-Konfigurationen, Triage-Empfehlungen und anderen relevanten Metadaten. Klicken Sie Erkennungen erkunden unten, um eine umfangreiche Sammlung verhaltensbasierter Sigma-Regeln zu erreichen, die nach dem Tag „CVE“ gefiltert sind:
CVE-2025-20286-Analyse
Cisco hat kürzlich Sicherheitsupdates herausgegeben, um eine kritische ISE-Schwachstelle zu beheben, die bösartige Operationen auf betroffenen Systemen erleichtern könnte, wenn sie von Gegnern bewaffnet werden. Die Schwachstelle, identifiziert als CVE-2025-20286 und mit einem CVSS-Score von 9,9 von 10 bewertet, wird als statischer Anmeldeinformationen-Fehler klassifiziert.
Die Schwachstelle betrifft Cloud-Einsätze von ISE auf AWS, Azure und OCI und gibt nicht authentifizierten Remote-Angreifern grünes Licht, auf sensible Daten zuzugreifen, begrenzte administrative Aktionen durchzuführen, Systemeinstellungen zu ändern oder Dienste zu stören. Während ein PoC-Exploit existiert, gibt Cisco an, dass es keine Anzeichen für eine aktive Ausnutzung in freier Wildbahn gibt.
Die Ursache liegt in falsch generierten statischen Anmeldeinformationen während der Cloud-Einsätze von Cisco ISE. Diese Anmeldeinformationen sind bei allen Einsätzen identisch, die dieselbe Software-Version und Cloud-Plattform teilen, was zu einer Situation führt, bei der beispielsweise alle Instanzen von ISE Version 3.1 auf AWS dieselben Anmeldeinformationen verwenden. Diese statischen Anmeldeinformationen sind jedoch nicht austauschbar zwischen verschiedenen Versionen oder Cloud-Plattformen. Beispielsweise würden Anmeldeinformationen für Version 3.1 auf AWS nicht mit Version 3.2 funktionieren, und Anmeldeinformationen für Version 3.2 auf AWS würden sich von denen auf Azure unterscheiden.
Bei erfolgreicher Ausnutzung könnte CVE-2025-20286 Angreifern ermöglichen, Benutzeranmeldedaten aus einer in der Cloud bereitgestellten Cisco ISE-Instanz zu extrahieren und sie zu verwenden, um auf andere ISE-Bereitstellungen über verschiedene Cloud-Umgebungen über unsichere Ports zuzugreifen. Cisco betont jedoch, dass das Problem nur Bereitstellungen betrifft, bei denen der primäre Verwaltungsknoten in der Cloud gehostet wird, während lokale Installationen nicht betroffen sind.
Genauer gesagt betrifft der Fehler keine lokalen Installationen (jegliche Formfaktoren, die über ISO oder OVA installiert wurden) oder Cloud-Bereitstellungen auf Azure VMware Solution, Google Cloud VMware Engine oder VMware Cloud auf AWS. Er schließt auch hybride Setups aus, bei denen alle Verwaltungsknoten vor Ort sind. Betroffene Versionen umfassen Cisco ISE Versionen 3.1 bis 3.4 auf AWS, und ISE Versionen 3.2 bis 3.4 auf Azure und OCI.
Während es keinen direkten Workaround für diesen Fehler gibt, empfiehlt Cisco eine Reihe von praktikablen Maßnahmen zur Abschwächung von CVE-2025-20286, um die Risiken einer Ausnutzung zu minimieren, einschließlich der Einschränkung des Zugriffs über Cloud Sicherheitsgruppen, der Aufrechterhaltung einer IP-basierten Zugriffskontrolle in Cisco ISE und dem Zurücksetzen von Anmeldeinformationen bei Neuinstallationen. Der Anbieter hat eine Hotfix veröffentlicht (ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz) anwendbar auf ISE Versionen 3.1 bis 3.4, die die Schwachstelle beseitigt, bis feste Versionen verfügbar sind. Kunden, die Versionen 3.3 und 3.4 verwenden, sollten auf 3.3P8 bzw. 3.4P3 upgraden. Ein vollständiger Fix für Version 3.5 ist für August 2025 geplant.
Aufgrund der Risiken der CVE-2025-20286-Ausnutzung und ihrer potenziell schweren Auswirkungen sollten Cisco ISE-Benutzer diesen Fehler als kritisches Sicherheitsproblem betrachten und ihn unverzüglich angehen. Um Sicherheitsteams zu unterstützen, proaktiv gegen aufkommende Bedrohungen zu verteidigen und Organisationen vor Versuchen der Schwachstellenausbeutung zu schützen, bietet die SOC Prime Plattform eine vollständige Produktsuite, die von KI, Automatisierung und Echtzeit-Bedrohungsinformationen unterstützt wird, um eine robustere Cybersicherheitslage aufzubauen.
