Ciscoは2025年7月16日に、Identity Services Engine(ISE)とISE Passive Identity Connector(ISE-PIC)製品における脆弱性CVE-2025-20337を公表しました。
この脆弱性はCVSSスコア10.0の最高評価を受けており、認証不要でリモートから基盤オペレーティングシステム上でroot権限による任意のコマンド実行を可能とします。
CVE-2025-20337は2025年6月末に開示された類似脆弱性CVE-2025-20281およびCVE-2025-20282に続く第3の脆弱性です。対象バージョンはISEおよびISE-PIC 3.3と3.4で、3.2以前は影響を受けません。
脆弱性はユーザー入力の検証不足に起因し、細工されたAPIリクエストにより悪用されます。発見者はGMO Cybersecurity by IeraeのKentaro Kawane氏で、Trend MicroのZero Day Initiativeと協力して報告されました。
修正版として3.3ユーザーには3.3 Patch 7、3.4ユーザーには3.4 Patch 2への更新が推奨されています。
From: 
Cisco Discloses ’10’ Flaw in ISE, ISE-PIC — Patch Now
【編集部解説】
今回のCisco ISE脆弱性について、innovaTopiaの読者の皆様により深く理解していただくため、この事案が持つ技術的・戦略的な意味を解説いたします。
CVSS 10.0スコアの真の意味
CVSS 10.0という評価は、脆弱性評価システムにおける最高レベルの危険度を示しています。これは「認証不要」「リモートから実行可能」「完全なシステム制御が可能」という3つの最悪条件が揃った際に付与される評価です。特に今回のケースでは、攻撃者が有効な認証情報を一切必要とせず、外部からAPIリクエストを送信するだけでroot権限を取得できるという点が深刻さを物語っています。
企業ネットワークの「信頼の境界」への脅威
Cisco ISEは、企業ネットワークにおける「誰が何にアクセスできるか」を制御する中核システムです。このシステムが侵害されることの意味は、単なる一台のサーバーが乗っ取られることとは次元が異なります。ISEはネットワークアクセス制御、認証、セグメンテーション、デバイス信頼性の判定を一手に担っており、攻撃者がこれを制御下に置くことで、組織全体のセキュリティポリシーを書き換えることが可能になります。
AIによる攻撃の民主化という新たなリスク
2025年現在、生成AIの普及により、従来は高度な技術知識を要していた攻撃手法が一般化しています。セキュリティ専門家は、AIを活用することで技術的経験の乏しい攻撃者でも、公開されているISEシステムを特定し、悪意のあるAPIリクエストを作成して標的型攻撃を実行できる可能性を警告しています。これは従来の「パッチ適用までの猶予期間」という概念を根本的に変える要因となっています。
3つの脆弱性の関係性と攻撃の進化
今回のCVE-2025-20337は、6月末に開示されたCVE-2025-20281、CVE-2025-20282に続く第3の脆弱性です。これらは独立して悪用可能でありながら、すべて同じ製品の異なるAPIを標的としている点が注目すべき特徴です。この状況は、Cisco ISEのAPIセキュリティ全体に構造的な問題が存在する可能性を示唆しており、今後も類似の脆弱性が発見される危険性があります。
グローバルな暴露状況とリスク分析
調査によると、現在2,000を超えるCisco ISEインスタンスがインターネット上で公開されており、米国だけでその大部分を占めています。日本も上位の暴露国として挙げられており、これらの公開システムは即座に攻撃対象となる可能性があります。特に、ゲストWi-Fiネットワークからでも脆弱なAPIにアクセスできる環境が存在することが、リスクをさらに高めています。
パッチ適用の複雑性と運用への影響
企業環境でのISEパッチ適用は、単純なソフトウェア更新とは異なる複雑さを持っています。高可用性設定、依存関係、そして「破壊的なメンテナンスウィンドウ」が必要な点が、迅速な対応を困難にしています。今回の事案では、以前のホットパッチが新しい脆弱性CVE-2025-20337に対応していないことが判明し、完全なパッチ適用が必要となりました。
エンタープライズセキュリティの将来への示唆
この事案は、エンタープライズセキュリティの根幹を成すシステムであっても、複雑性と開発速度の増大によってセキュリティが追いつかない現実を浮き彫りにしています。「信頼すべきシステム自体がリスクになる」という状況は、企業に対してセキュリティ戦略の根本的な見直しを迫っています。
今後の技術進化への影響
ゼロトラストアーキテクチャの重要性がより一層高まることが予想されます。単一のシステムに過度に依存するのではなく、複数の防御層を設けることで、一つのシステムが侵害されても全体の安全性を保つアプローチが主流になると考えられます。また、API セキュリティの強化と、継続的な脆弱性監視の自動化が、企業のセキュリティ投資の優先領域となるでしょう。
【用語解説】
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0から10の数値で評価する国際的な標準システムです。10.0は最高危険度を示し、認証不要でリモートから完全なシステム制御が可能な場合に付与されます。
API(Application Programming Interface)
アプリケーション間でデータや機能を連携させるための仕組みです。今回の脆弱性では、不正に細工されたAPIリクエストによってシステムが乗っ取られます。
Root権限
Unix/Linuxシステムにおける最高管理者権限です。この権限を取得されると、システム全体を完全に制御される危険性があります。
VLAN(Virtual Local Area Network)
物理的なネットワーク上で論理的にセグメントを分割する技術です。ISEはVLAN間でのエンドポイント移動を制御しています。
ホットパッチ
システムを停止せずに適用できる緊急修正プログラムです。今回は既存のホットパッチが新しい脆弱性に対応していないことが判明しました。
Zero Day Initiative(ZDI)
Trend Microが運営する脆弱性研究プログラムです。研究者が発見した脆弱性を製品ベンダーに報告し、修正を促進する役割を担っています。
概念実証(Proof of Concept)
脆弱性の存在を実証するためのサンプルコードやデモンストレーションです。公開されることで攻撃リスクが高まります。
【参考リンク】
Cisco Identity Services Engine(ISE)(外部)
企業ネットワークのアクセス制御とセキュリティポリシー管理を行うCiscoの統合プラットフォーム
Cisco ISE サポートページ(外部)
Cisco ISEの技術サポート情報、アップグレードガイド、包括的なサポートリソースを提供
Sectigo(外部)
証明書ライフサイクル管理を専門とするサイバーセキュリティ企業。Jason Soroko氏が在籍
Cequence Security(外部)
APIセキュリティとボット管理を専門とするサイバーセキュリティ企業。Randolph Barr氏がCISO
【参考動画】
How to Configure PASSIVE ID in Cisco ISE Using Agent
Cisco ISEのPASSIVE ID機能をエージェントを使用して設定する方法を解説した公式技術動画。ネットワークアクセス制御とセキュリティ強化のための実践的な設定手順を学ぶことができます。
【参考記事】
Cisco ISE Hit by CVSS 10 RCE Vulnerabilities Allowing Full System Takeover(外部)
CVE-2025-20337を含む3つの重要な脆弱性の詳細分析と攻撃手法を専門的に解説
Cisco Warns of Critical ISE Flaw Allowing Unauthenticated Remote Code Execution(外部)
CVE-2025-20337の発見経緯とGMO Cybersecurity by Ierae社との協力について詳述
Unauthenticated Remote Code Execution in Cisco ISE CVE-2025-20337(外部)
影響を受けるバージョンと修正方法について詳細に解説、組織が取るべき対策を説明
「Cisco ISE」にクリティカル脆弱性を追加 – 旧パッチでは未対処(外部)
Ciscoの7月16日のアドバイザリ更新について解説、パッチ適用の重要性を分析
CVE-2025-20337 Detail – NVD(外部)
米国国立標準技術研究所による公式脆弱性データベース、技術的詳細と影響範囲を提供
【編集部後記】
今回のCisco ISE脆弱性は、多くの企業が直面しているセキュリティの現実を浮き彫りにしています。皆さんの組織では、ネットワークアクセス制御やAPIセキュリティについて、どのような対策を講じていらっしゃいますか?
特に興味深いのは、AIの普及によって攻撃手法が「民主化」されている点です。従来は高度な技術者でなければ実行できなかった攻撃が、今では誰でも可能になりつつあります。
皆さんは、自社のセキュリティ戦略において「ゼロトラスト」の考え方をどの程度取り入れていますか?また、単一のシステムに過度に依存するリスクについて、どのような対策を検討されているでしょうか?
ぜひSNSで、皆さんの実体験や課題をお聞かせください。共に学び合いながら、より安全なデジタル社会の実現に向けて歩んでいければと思います。
