A Cisco sürgősségi biztonsági frissítéseket adott ki az Identity Services Engine (ISE) platformhoz, miután megerősítette, hogy publikussá vált a sebezhetőség proof-of-concept (PoC) exploit kódja.
A fejlemény komoly aggodalmat keltett vállalati biztonsági csapatok és hálózati üzemeltetők körében.
A sérülékenység a CVE-2026-20029 azonosítót kapta, és nemcsak a Cisco Identity Services Engine, hanem a Cisco ISE Passive Identity Connector (ISE-PIC) termékeket is érinti. Ezeket a megoldásokat világszerte nagyvállalatok használják hálózati hozzáférés-vezérlésre, felhasználó- és eszközhitelesítésre, valamint zero trust biztonsági modellek érvényesítésére.
A Cisco közlése szerint aktív, éles támadásról egyelőre nincs tudomásuk, azonban a PoC exploit nyilvános elérhetősége jelentősen növeli annak esélyét, hogy támadók rövid időn belül fegyveresítik a hibát – különösen olyan környezetekben, ahol adminisztrátori jogosultságok már kompromittálódtak.
🧠 Nagy hatású hiba egy kritikus biztonsági komponensben
A Cisco ISE számos vállalati hálózatban kulcsszerepet tölt be: ez a rendszer dönti el, hogy mely felhasználók, végpontok és eszközök csatlakozhatnak a belső erőforrásokhoz. Éppen ezért az ISE-t érintő sérülékenységek kiemelten értékes célpontot jelentenek a támadók számára.
A Cisco tanácsadása szerint a CVE-2026-20029 oka a nem megfelelő XML-feldolgozás az ISE webes adminisztrációs felületén. Egy érvényes adminisztrátori jogosultsággal rendelkező támadó egy speciálisan kialakított, rosszindulatú fájl feltöltésével kihasználhatja a hibát.
„A sebezhetőség oka az XML-adatok nem megfelelő feldolgozása a Cisco ISE és Cisco ISE-PIC webes kezelőfelületén. A sikeres kihasználás lehetővé teheti, hogy a támadó tetszőleges fájlokat olvasson ki az alaprendszerből” – közölte a Cisco.
A kiszivárogtatható adatok között lehetnek:
- belső konfigurációs fájlok,
- hitelesítési anyagok,
- tanúsítványok,
- naplófájlok,
- egyéb, normál esetben még adminisztrátorok számára sem hozzáférhető rendszeradatok.
🔐 Miért veszélyesek az „admin-only” sebezhetőségek?
Bár a sérülékenység kihasználásához adminisztrátori hozzáférés szükséges, a biztonsági szakértők szerint ez nem csökkenti érdemben a valós kockázatot.
A modern támadások jellemzően:
- hitelesítő adatok ellopásával,
- jogosultság-eszkalációval,
- legitim hozzáférések visszaélésével indulnak.
Az ilyen, „csak adminnak” tűnő hibákat a gyakorlatban gyakran utólagos támadási lépcsőként használják: segítségükkel a támadók mélyebb rendszerinformációkhoz jutnak, oldalirányban mozognak, vagy tartós jelenlétet építenek ki.
🧪 A PoC exploit nyilvánossá válása felgyorsítja a kockázatot
A Cisco PSIRT megerősítette, hogy a CVE-2026-20029-hez nyilvánosan elérhető PoC exploit jelent meg. A tapasztalatok szerint ez rendszerint:
- gyors szkennelési hullámot indít el,
- megkönnyíti a kevésbé fejlett támadók dolgát,
- felgyorsítja a ransomware- és APT-csoportok általi fegyveresítést.
A Cisco hangsúlyozta: az, hogy jelenleg nem észlelnek aktív támadást, nem tekinthető biztonsági garanciának.
🩹 Javítások és érintett verziók
A Cisco javításokat adott ki az összes támogatott ISE és ISE-PIC verzióhoz, és azonnali frissítést javasol. A gyártó szerint:
- nincs olyan konfigurációs kerülőmegoldás, amely teljes védelmet nyújtana,
- a sebezhetőség kizárólag frissítéssel orvosolható.
A nem támogatott, régi verziókat futtató szervezeteknek migrálniuk kell, mivel ezekhez a Cisco nem ad ki javítást.
🔄 Nem elszigetelt eset: Cisco infrastruktúra célkeresztben
Az ISE-hiba egy szélesebb trendbe illeszkedik. Az elmúlt időszakban több Cisco vállalati infrastruktúra-komponenst is célba vettek támadók.
Nemrég:
- a Cisco IOS XE több hibáját javították, amelyek a Snort 3 Detection Engine működését zavarták volna,
- 2025 novemberében aktív támadások zajlottak egy maximális súlyosságú Cisco ISE zero-day (CVE-2025-20337) kihasználásával,
- decemberben pedig egy kínai kötődésű csoport (UAT-9686) használt ki egy másik Cisco zero-day hibát (CVE-2025-20393).
🧩 Miért lett az identitás-infrastruktúra elsődleges célpont?
A szakértők szerint a támadók fókusza egyre inkább az identitás-alapú rendszerek felé tolódik el.
„Az identitásrendszerek az autentikáció, autorizáció és hálózati bizalom metszéspontjában állnak. Ha ezek kompromittálódnak, a támadó gyakorlatilag átírhatja a teljes szervezet hozzáférési szabályait.”
Ahogy a zero trust architektúrák terjednek, ezek a rendszerek egyre erősebbek – és egyre vonzóbb célpontok.
✅ Mit tegyenek most a szervezetek?
A biztonsági szakértők javaslatai:
- 🔄 Cisco frissítések azonnali telepítése
- 🔍 ISE adminisztrátori hozzáférések auditálása
- 📜 Naplók figyelése szokatlan fájl- vagy konfigurációelérésekre
- 🔑 Adminisztrátori hitelesítő adatok cseréje
- 🌐 Adminisztrációs felületek korlátozása kizárólag megbízható hálózatokra
Ha egy exploit már publikus, nem az a kérdés, hogy próbálkoznak-e vele a támadók, hanem az, hogy mikor.
