В Банке данных угроз безопасности информации (BDU) появилась запись о новой серьёзной уязвимости в ключевых продуктах Cisco для управления доступом к сети. Уязвимость, получившая идентификаторы BDU:2026-05528 и CVE-2026-20147, затрагивает платформу Cisco Identity Services Engine (ISE) и её компонент Passive Identity Connector (ISE-PIC). Проблема связана с недостаточной очисткой пользовательских данных в веб-интерфейсе управления. Эксплуатация этой уязвимости позволяет удалённому злоумышленнику с привилегиями учётной записи выполнить произвольный код на уязвимой системе с максимальными правами.
Детали уязвимости
Cisco ISE является центральным элементом безопасности многих корпоративных сетей. Эта платформа отвечает за аутентификацию пользователей и устройств, авторизацию политик доступа и учёт сетевых событий. Следовательно, компрометация такого компонента открывает злоумышленникам путь к самой сердцевине корпоративной инфраструктуры. Уязвимый компонент ISE-PIC (Passive Identity Connector) используется для пассивной идентификации пользователей, собирая данные из различных источников. Внедрение в эту систему может позволить атакующим получить доступ к конфиденциальной информации об активности в сети.
Согласно описанию, проблема классифицируется как "непринятие мер по чистке данных на управляющем уровне" (CWE-77). Проще говоря, веб-интерфейс управления некорректно обрабатывает специально сформированные команды или данные, вводимые пользователем. Это позволяет атакующему внедрить и выполнить произвольные операционные команды на самом сервере. Для эксплуатации требуется наличие учётной записи с правами доступа к веб-интерфейсу, однако в корпоративной среде такие учётные записи есть у многих администраторов и специалистов.
Уровень опасности уязвимости оценён как критический. Система оценки CVSS 3.1 присваивает ей высший балл 9.9 из 10. Базовый вектор CVSS 3.0 выглядит как AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, что расшифровывается следующим образом: атака возможна через сеть, с низкой сложностью, требующая наличия привилегий учётной записи, без взаимодействия с пользователем, с воздействием на другие компоненты системы, и приводит к полной компрометации конфиденциальности, целостности и доступности. Иными словами, успешная атака даёт злоумышленнику полный контроль над системой с возможностью воздействия на связанные ресурсы.
Уязвимость затрагивает широкий спектр версий ПО. В зоне риска находятся Cisco Identity Services Engine и Identity Services Engine Passive Identity Connector версий до 3.1 включительно. Также уязвимы более поздние основные версии, если на них не установлены актуальные патчи. В частности, это версии до 3.1 Patch 11, 3.2 Patch 10, 3.3 Patch 11, 3.4 Patch 6 и 3.5 Patch 3. Компания Cisco уже подтвердила наличие уязвимости и выпустила необходимые обновления безопасности.
Производитель классифицировал способ эксплуатации как "инъекция". Это означает, что атакующий внедряет вредоносные данные или команды в легитимный запрос к веб-интерфейсу. Поскольку статус наличия готового эксплойта на момент публикации записи в BDU уточняется, организациям следует действовать на опережение. Обычно для таких критических уязвимостей в популярных продуктах публичные эксплойты появляются достаточно быстро.
Единственным надёжным способом устранения угрозы является немедленное обновление программного обеспечения. Cisco выпустила патчи для всех затронутых веток. Администраторам необходимо установить исправления, закрывающие уязвимость, в соответствии с официальными рекомендациями. Ссылка на бюллетень безопасности компании приведена в записи BDU. Важно отметить, что уязвимость уже устранена производителем в новых версиях, поэтому процесс обновления должен быть приоритетной задачей для всех команд информационной безопасности.
Временные меры смягчения могут включать строгий контроль и аудит учётных записей, имеющих доступ к веб-интерфейсу управления Cisco ISE. Кроме того, рекомендуется следовать принципу минимальных привилегий и сегментировать сеть, ограничивая доступ к интерфейсам управления критической инфраструктуры только с доверенных хостов. Регулярный мониторинг сетевой активности и журналов событий на предмет подозрительных действий также остаётся важной практикой.
Обнаружение подобной уязвимости в столь важном продукте подчёркивает необходимость постоянного и своевременного управления обновлениями безопасности. Платформы класса NAC (Network Access Control), такие как Cisco ISE, являются высокоприоритетными целями для злоумышленников, включая группы APT. Компрометация системы управления доступом позволяет не только похищать данные, но и долгое время сохранять устойчивость (persistence) в сети, перемещаться между сегментами и скрывать свою активность. Поэтому оперативное применение патчей в этом случае критически важно для предотвращения потенциально масштабного инцидента безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-05528
- https://www.cve.org/CVERecord?id=CVE-2026-20147
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-traversal-8bYndVrZ
