Podatność w Cisco Identity Services Engine (ISE) wdrożonym w chmurach AWS, Microsoft Azure i Oracle Cloud Infrastructure powoduje, że różne instancje ISE współdzielą te same statycznie wygenerowane poświadczenia. Nieuwierzytelniony zdalny atakujący może wykorzystać te poświadczenia do uzyskania dostępu do cudzych środowisk ISE, modyfikacji konfiguracji lub zakłócenia działania usług.
▸ Pokaż oryginał (EN)
A vulnerability in Amazon Web Services (AWS), Microsoft Azure, and Oracle Cloud Infrastructure (OCI) cloud deployments of Cisco Identity Services Engine (ISE) could allow an unauthenticated, remote attacker to access sensitive data, execute limited administrative operations, modify system configurations, or disrupt services within the impacted systems. This vulnerability exists because credentials are improperly generated when Cisco ISE is being deployed on cloud platforms, resulting in different Cisco ISE deployments sharing the same credentials. These credentials are shared across multiple Cisco ISE deployments as long as the software release and cloud platform are the same. An attacker could exploit this vulnerability by extracting the user credentials from Cisco ISE that is deployed in the cloud and then using them to access Cisco ISE that is deployed in other cloud environments through unsecured ports. A successful exploit could allow the attacker to access sensitive data, execute limited administrative operations, modify system configurations, or disrupt services within the impacted systems. Note: If the Primary Administration node is deployed in the cloud, then Cisco ISE is affected by this vulnerability. If the Primary Administration node is on-premises, then it is not affected.
Podatność (CWE-259: użycie zakodowanych na stałe haseł) wynika z nieprawidłowego mechanizmu generowania poświadczeń podczas wdrażania Cisco ISE na platformach chmurowych. Wszystkie instancje ISE działające na tej samej wersji oprogramowania i tej samej platformie chmurowej otrzymują identyczne poświadczenia. Atakujący może wyekstrahować te poświadczenia z dostępnej mu instancji ISE, a następnie użyć ich do połączenia się z innymi instancjami ISE przez niezabezpieczone porty. Podatność dotyczy wyłącznie wdrożeń, w których Primary Administration Node (PAN) jest hostowany w chmurze — wdrożenia z PAN on-premises nie są zagrożone.
Skuteczne wykorzystanie podatności pozwala atakującemu na nieuprawniony dostęp do wrażliwych danych, wykonanie ograniczonych operacji administracyjnych, modyfikację konfiguracji systemowych oraz zakłócenie działania usług w dotkniętych środowiskach ISE.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-aws-static-cred-FPMjUcm7. Jako środek zaradczy należy zweryfikować, czy Primary Administration Node jest wdrożony w chmurze, i w razie potrzeby rozważyć przeniesienie go do środowiska on-premises. Należy również zabezpieczyć odpowiednie porty komunikacyjne na poziomie sieciowym.
Cisco Identity Services Engine (ISE) wdrożony w chmurach Amazon Web Services (AWS), Microsoft Azure oraz Oracle Cloud Infrastructure (OCI), w przypadku gdy Primary Administration Node jest hostowany w środowisku chmurowym. Szczegółowe informacje o wersjach dostępne w referencjach producenta.
Podatność dotyczy wyłącznie instancji Cisco ISE z Primary Administration Node wdrożonym w chmurze (AWS, Azure, OCI). Instancje z PAN on-premises nie są podatne, nawet jeśli pozostałe węzły działają w chmurze.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:HAmazon Web Services
APPAmazonwszystkie wersjeCisco Identity Services Engine
APPCisco3.1.03.2.03.3.03.4.0Microsoft Azure
OSMicrosoftwszystkie wersjeOracle Cloud Infrastructure
APPOraclewszystkie wersje
Powiązane podatności
Nieuwierzytelniony RCE jako root w Cisco ISE i ISE-PIC poprzez API
Cisco ISE / ISE-PIC — nieuwierzytelniony RCE przez API jako root
A vulnerability in Cisco ISE and ISE-PIC could allow an authenticated, remote attacker to execute arbitrary co...
RCE w Cisco ISE — eskalacja uprawnień do root przez HTTP
Nieautoryzowany RCE jako root w Cisco ISE i ISE-PIC