Компания Cisco опубликовала информацию о новой уязвимости типа XML External Entity (XXE, обработка внешних сущностей XML) в продуктах Cisco Identity Services Engine (ISE) и Cisco ISE Passive Identity Connector (ISE-PIC). Эта проблема, получившая идентификатор CVE-2026-20029, может позволить злоумышленникам с аутентифицированным административным доступом читать конфиденциальные данные из базовой операционной системы. Уязвимость имеет средний уровень опасности с оценкой CVSS 4.9, однако её потенциальное воздействие оценивается как значительное, поскольку ISE часто выступает центральным элементом управления политиками и идентификацией в корпоративных сетях.
Детали уязвимости
Согласно бюллетеню безопасности cisco-sa-ise-xxe-jWSbSDKt, проблема кроется в некорректном анализе XML-данных в функциях лицензирования, доступных через веб-интерфейс управления. Злоумышленник, уже обладающий действительными учетными данными администратора, может загрузить вредоносный (malicious) файл. Этот файл, используя уязвимость парсера XML, позволяет читать произвольные файлы на хосте. Cisco особо отмечает, что таким образом может быть раскрыта информация, которая не должна быть доступна даже легитимным администраторам. Следовательно, риски выходят за рамки простого раскрытия стандартных конфигураций.
Сама по себе уязвимость не позволяет провести внешнюю атаку без предварительной аутентификации. Тем не менее, в реальных условиях развертывания ISE и ISE-PIC часто являются критически важными компонентами инфраструктуры. Они интегрированы с хранилищами идентификаторов, системами контроля доступа к сети и мониторинга. Если злоумышленник уже получил права администратора, например, с помощью фишинга, перебора учетных данных или перемещения внутри сети, эта уязвимость открывает ему прямой путь к хищению чувствительных файлов. Речь идет о конфигурационных данных, журналах логов или других секретах, хранящихся на устройстве.
Cisco подтверждает, что все поддерживаемые выпуски Cisco ISE и ISE-PIC, предшествующие исправленным сборкам, являются уязвимыми, независимо от конфигурации. Для уязвимых версий уже выпущены обновления. Компания настоятельно рекомендует клиентам выполнить обновление, поскольку для данной проблемы не существует обходных путей или методов смягчения. Специалисты Cisco Product Security Incident Response Team (PSIRT) сообщают, что публичное доказательство концепции (Proof-of-Concept, PoC) эксплойта для CVE-2026-20029 уже доступно. Хотя на данный момент не известно об активном злонамеренном использовании уязвимости в реальных атаках, наличие PoC-кода существенно снижает порог входа для киберпреступников. Это повышает срочность реагирования для специалистов по безопасности.
Таким образом, командам безопасности следует исходить из того, что вскоре после раскрытия деталей может последовать разведка и тестирование уязвимости на открытых интерфейсах управления ISE. Опубликованных обходных путей или методов смягчения, основанных только на конфигурации, не существует. Организации не могут полагаться на отключение функций или частичное усиление защиты для устранения угрозы. Полное устранение требует обновления до исправленной версии программного обеспечения. На переходный период операторам следует строго ограничить и контролировать административный доступ к ISE и ISE-PIC. Кроме того, необходимо убедиться, что интерфейсы управления не выставлены в ненадежные сети. Также рекомендуется проверить настройки аутентификации, принудительного применения многофакторной аутентификации (MFA) и логирования для учетных записей администраторов ISE.
Данная уязвимость связана с идентификатором ошибки Cisco CSCwq79739 и классифицирована как CWE-611. Эта категория подчеркивает, как некорректно защищенные XML-парсеры могут стать мощным инструментом для эксфильтрации данных на платформах критической инфраструктуры. Cisco выражает благодарность Бобби Гулду из программы Zero Day Initiative компании Trend Micro за сообщение об уязвимости. Учитывая центральную роль ISE в архитектурах контроля доступа многих предприятий, организациям рекомендуется расставить приоритеты в графиках установки исправлений. Необходимо сверить текущие версии ISE с матрицей исправленных выпусков от Cisco и запланировать немедленное обновление, чтобы устранить этот новый канал утечки конфиденциальных данных.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20029
- https://nvd.nist.gov/vuln/detail/CVE-2026-20029
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xxe-jWSbSDKt
