关键思科ISE云部署静态凭据漏洞 – CVE-2025-20286 – Kudelski安全研究

摘要

2025年5月29日，思科披露了一个关键漏洞（CVE-2025-20286），影响在AWS、Azure和Oracle云基础设施（OCI）上部署的思科身份服务引擎（ISE）云部署。该问题源于云部署期间不当生成的静态凭据，导致相同ISE版本和平台的实例共享相同的凭据。

未经身份验证的远程攻击者可利用此缺陷访问敏感数据、执行有限的管理操作、修改系统设置或破坏受影响环境中的服务。

该漏洞仅影响主管理节点（PAN）位于云中的部署。本地主管理节点不受影响。

受影响系统和应用

漏洞CVE-2025-20286影响在Amazon Web Services（AWS）、Microsoft Azure和Oracle云基础设施（OCI）上特定基于云的思科身份服务引擎（ISE）部署。

受影响部署： 思科ISE在以下情况下易受攻击：

• 它在云平台（AWS、Azure、OCI）上以默认配置部署。
• 主管理节点（PAN）部署在云中。

这些受影响的部署为相同版本和云提供商共享相同的静态凭据，如果其中一个部署暴露，则容易受到跨实例攻击。

不受影响： 以下部署不受影响：

• 使用官方思科ISO或OVA的本地部署，无论其形式因素如何。
• 思科ISE部署在：
  • Azure VMware解决方案（AVS）
  • Google Cloud VMware引擎
  • VMware Cloud on AWS
• 所有ISE管理员角色（PAN/SAN）都在本地的混合环境，即使其他角色位于云中。

技术细节 / 攻击概述

漏洞CVE-2025-20286影响在AWS、Azure和Oracle云基础设施上基于云的思科身份服务引擎（ISE）部署。它源于部署过程中自动生成凭据的方式。当使用默认工作流在云中安装ISE时，系统会创建静态、硬编码的凭据，这些凭据对于使用相同软件版本和云平台的所有部署都是相同的。

这意味着，例如，所有在Azure上部署的思科ISE版本3.2实例将共享相同的内部凭据。这些凭据不是每个部署唯一的，这种缺乏熵的情况导致了严重的安全风险。

攻击者通过错误配置、受损账户或其他方式获得一个此类基于云的ISE实例的访问权限后，可以提取这些静态凭据。然后，他们可以重用这些凭据访问同一平台和版本上的其他思科ISE实例，甚至跨不同组织，只要这些实例暴露了相关的管理接口（例如，通过开放或未正确保护的端口）。

通过这种访问，攻击者可以检索敏感配置数据、执行有限的管理功能、更改系统设置，甚至导致服务中断。重要的是，此攻击不需要事先身份验证，使其成为一个高严重性问题。

此漏洞仅影响主管理节点（PAN）托管在云中的部署。本地PAN部署或具有本地PAN的混合模型不受影响。此外，使用来自思科软件下载中心的基于ISO/OVA的工件（而不是云原生模板）的部署也不易受攻击。

临时解决方法和缓解措施

没有有效的解决方法可以完全解决该漏洞，但建议采取以下缓解措施：

限制访问

• 云安全组：使用云原生安全组按IP限制对思科ISE实例的访问。
• 思科ISE ACL：配置ISE仅允许来自授权管理员IP地址的流量。

不要在不重置凭据的情况下重用配置或备份。

凭据重新生成（仅限云）

• 对于新安装或PAN在云中的情况：application reset-config ise
• 警告：此命令将思科ISE重置为出厂设置。配置恢复将重新引入易受攻击的凭据

修补所有云托管的思科ISE部署到最新的修复版本。

修复版本

思科已发布热修复和永久版本来修复此问题：

所有受影响的用户应立即升级到修复版本。

• 凭据每个平台和版本都是唯一的（例如，3.1/AWS ≠ 3.2/AWS 或 3.2/Azure）
• 备份包含易受攻击的凭据 — 确保在恢复后执行重置
• 在云部署后始终验证安全组配置

网络融合中心正在做什么

网络融合中心（CFC）正在积极监控利用尝试并评估威胁情报以获取妥协指标（IOC）。行动包括：

• 漏洞扫描：等待Tenable和Qualys等工具的检测插件发布。

CVE-2025-20286 | Tenable®

目前，潜在的利用可能性强调了应用可用补丁的紧迫性。

参考

• 思科身份服务引擎在云平台上的静态凭据漏洞
• 软件下载 – 思科系统
• 关键思科ISE身份验证绕过缺陷影响AWS、Azure和OCI上的云部署