身份服务引擎(ISE)是一个基于身份的环境感知平台,实时汇集网络、用户与设备信息,用于执行策略与网络监控。ISE 能检测网络攻击并简化复杂的访问管理。
2023年10月11日,相关安全更新已发布,用于修复 ISE 中的若干重要漏洞,其中包括特权升级风险。下文为漏洞要点与影响范围。
漏洞要点
CVE-2021-1594 — CVSS 评分:7.5(高危)
在 Cisco Identity Services Engine (ISE) 的 REST API 中存在漏洞,未经过身份验证的远程攻击者可能利用该漏洞执行命令注入并提升至 Root 权限。
该漏洞源于对特定 API 端点的输入校验不足。处于中间人位置的攻击者可以通过拦截并修改不同 ISE 角色节点之间的通信来利用此漏洞。若成功利用,攻击者可在底层操作系统上以 Root 权限执行任意命令。利用该漏洞需解密两个不同节点上 ISE 角色之间的 https 流量。
受影响的产品
该漏洞影响在分布式部署中运行有漏洞版本的 Cisco 设备上的 ISE 实例。
要判断设备上是否部署了 ISE,请按以下步骤操作:
- 对于运行 ISE 3.0 及以上版本的设备,进入 ISE 图形界面,点击菜单图标(此步骤对版本低于 3.0 的设备无效)。
- 选择 Administration > System > Deployment。
- 在左侧导航中点击 Deployment,查看部署中的所有 ISE 节点信息。
- 若 Role(s) 显示为 STANDALONE,表示设备处于独立部署,对此漏洞不受影响;若 Role(s) 显示为除 STANDALONE 以外的其他值,则设备处于分布式部署,受此漏洞影响。
修复版本信息提示
以下版本及修复内容对应仅作参考,请以官方公告为准:
- ISE 2.4 版本改为特定补丁版本以修复
- ISE 2.6 版本修补补丁 11
- ISE 2.7 版本修补补丁 5
- ISE 3.0 版本修补补丁 4
更多关于漏洞与升级的信息,请访问官方页面:
https://Tools.cisco.com/security/center/publicationlisting.x
