CVE-2025-20281:Cisco ISE API における認証されていないリモートコード実行の脆弱性
Cisco Identity Services Engine (ISE) において、特に enableStrongSwanTunnel メソッドに脆弱性があり、root 権限でのコマンド・インジェクションを許可していた。この脆弱性は当初、デシリアライゼーションの脆弱性として報告されたが、コマンド・インジェクションの脆弱性も含まれていた。研究者 Kentaro Kawane は、攻撃者が提供するデータを使用して、sudo 権限でシェル・スクリプトを実行することを発見した。予想よりも複雑な攻撃経路があったため、Java の exec() メソッドがコマンドをトークン化する方法に起因していた。Java の StringTokenizer は引用符を無視するため、直接のコマンド実行ができなかったが、研究者は bash の Internal Field Separator (${IFS}) 変数を使用してこれを回避した。これにより、単一の引数としてコマンドをインジェクションすることができ、トークン化の問題を避けることができた。インジェクションされたコマンドは当初、Docker コンテナー内で実行されたが、コンテナーが特権モードで実行されていたため、研究者は「User-Mode Helpers」テクニックを使用してコンテナーから脱出してホスト・システムの root アクセスを獲得した。ペイロードのスペース・キャラクターの制限を回避するために base64 エンコーディングが使用された。完全なエクスプロイトには、脆弱なエンドポイントに特別にcrafted な POST リクエストを送信することが含まれていた。この成功したエクスプロイトは、複数の脆弱性がシステムの完全な-compromise につながることを示している。研究者は、Java の exec() の動作と特権 Docker コンテナーの能力についての理解の重要性を強調している。さらなる研究が計画されている。