Katastrofalna luka Cisco. Zagrożone dane w AWS, Azure i Oracle Cloud

Cisco, globalny gigant w dziedzinie infrastruktury sieciowej, ujawnił i naprawił krytyczną lukę w swoim systemie Identity Services Engine (ISE), która może umożliwić zdalnym atakującym dostęp do danych, przejęcie kontroli administracyjnej, a nawet całkowite zakłócenie działania środowisk chmurowych.

Zagrożenie dotyczy wdrożeń Cisco ISE w trzech największych środowiskach przetwarzania w chmurze: Amazon Web Services (AWS), Microsoft Azure oraz Oracle Cloud Infrastructure (OCI). Jak jednak zaznacza producent, lokalne środowiska wirtualne oraz wdrożenia poprzez Azure VMware Solution, Google Cloud VMware Engine i VMware Cloud on AWS są bezpieczne.

Jeden klucz do wielu drzwi

Luka została oznaczona identyfikatorem CVE-2025-20286 i uzyskała dramatycznie wysoką ocenę 9,9 w 10-stopniowej skali CVSS, co klasyfikuje ją jako niemal maksymalnie krytyczną. Problemem jest sposób generowania danych uwierzytelniających podczas instalacji Cisco ISE w chmurze – zamiast unikalnych danych dostępowych, instalator używa tych samych domyślnych parametrów przy każdej nowej instalacji w obrębie tej samej wersji i platformy chmurowej.

Innymi słowy: jeśli ktoś zna dane uwierzytelniające wygenerowane podczas jednej instalacji Cisco ISE 3.2 w AWS, może uzyskać dostęp do wszystkich innych wdrożeń tej samej wersji i środowiska – niezależnie od ich właściciela.

Eksploatacja tej luki może prowadzić do:

• zdalnego dostępu bez uwierzytelniania,

• odczytu poufnych danych,

• wykonania działań administracyjnych,

• zmiany konfiguracji systemu,

• zakłócenia działania platformy.

Jak podało Cisco, lukę wykrył ekspert z firmy GMO Cybersecurity, a eksploit demonstracyjny już istnieje, choć dotychczas nie potwierdzono rzeczywistego wykorzystania jej przez cyberprzestępców.

Producent reaguje, ale cena jest wysoka

Cisco udostępniło już stosowne poprawki dla wersji ISE 3.2, 3.3 i 3.4, a w przypadku AWS – także dla wersji 3.1. Firma zaleca natychmiastowe ograniczenie ruchu do platformy tylko dla zaufanych administratorów oraz, jeśli to możliwe, wykonanie pełnego resetu ustawień ISE za pomocą polecenia application reset-config ise. To jednak oznacza utracenie całej istniejącej konfiguracji i powrót do ustawień fabrycznych.

W środowiskach, w których kontrolę administracyjną oparto o lokalne konta, a dane użytkowników są zarządzane w chmurze, luka nie występuje. Cisco podkreśla również, że instalacje zrealizowane ręcznie z Cisco Software Download Center w środowiskach wirtualnych (lokalnych) są bezpieczne.

Branża alarmuje: problem głębszy niż się wydaje

Eksperci branżowi nie kryją niepokoju, a niektózy woprost nazwają błąd „na granicy katastrofy”. Trzeba pamiętać, że fundamentalną zasadą bezpieczeństwa IT jest niepoleganie na domyślnych danych uwierzytelniających generowanych automatycznie. Ten problem może mieć swoje źródło w niedostatecznie zweryfikowanej bibliotece firm trzecich. To kolejny argument za tym, by bezpieczeństwo haseł traktować jako osobne, ręcznie zarządzane zadanie.