Cisco Identity Services Engine(ISE)是美国思科(Cisco)公司的一款基于身份的环境感知平台(ISE身份服务引擎)。该平台通过收集网络、用户和设备中的实时信息,制定并实施相应策略来监管网络。Cisco ISE能够洞察网络受到的一切攻击,并可以减轻复杂访问管理的压力。
10月11日,思科公司发布了安全更新,修复了Cisco ISE特权升级等重要漏洞。以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-priv-esc-UwqPrBM3
CVE-2021-1594 CVSS评分: 7.5 严重程度: 高
思科身份服务引擎 (ISE) 的 REST API 中存在一个漏洞,该漏洞可能允许未经身份验证的远程攻击者执行命令注入攻击并将特权提升为root。
此漏洞是由于对特定 API 端点的输入验证不足。处于中间人位置的攻击者可以通过拦截和修改从一个 ISE 角色到另一个 ISE 角色的特定节点间通信来利用此漏洞。成功的利用可能允许攻击者在底层操作系统上以root权限运行任意命令。要利用此漏洞,攻击者需要解密位于不同节点上的两个 ISE 角色之间的 HTTPS 流量。
受影响产品
如果思科设备在分布式部署中运行易受攻击的 Cisco ISE 版本,则此漏洞会影响这些设备。
要确定 Cisco ISE 是否在设备上进行分布式部署,请执行以下操作:
对于运行 Cisco ISE 版本 3.0 或更高版本的设备,请转至 Cisco ISE GUI 并单击菜单图标。(对于运行早于版本 3.0 的版本的设备,此步骤不是必需的。)
选择管理 > 系统 > 部署。
单击左侧导航窗格中的部署以查看作为部署一部分的所有 Cisco ISE 节点。
如果Role(s) 下的值为STANDALONE,则设备处于独立部署中,不受此漏洞影响。如果Role(s)下有STANDALONE以外的任何值,则设备处于分布式部署中并受此漏洞影响。
Cisco ISE 2.4 升级可修复版本
Cisco ISE 2.6 升级2.6补丁11可修复
Cisco ISE 2.7 升级2.7补丁5可修复
Cisco ISE 3.0 升级3.0补丁4可修复
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
