Kritische Schwachstelle in Cisco ISE betrifft Cloud-Deployments weltweit : Sicherheitslücke mit Sprengkraft : Cloud-Risiko durch geteilte Zugangsdaten: Cisco warnt vor kritischer ISE-Schwachstelle mit Exploit-Potenzial

Cisco hat einen schwerwiegenden Authentifizierungsfehler in seiner Identity Services Engine (ISE)bestätigt, der vor allem Cloud-Deployments betrifft. Die Schwachstelle mit der Kennung CVE-2025-20286 wurde mit einem CVSS-Score von 9,9 – also nahezu maximal – bewertet. Besonders kritisch: Der Fehler betrifft gleich mehrere große Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure und Oracle Cloud Infrastructure (OCI).

Entdeckt wurde die Schwachstelle von Kentaro Kawane von GMO Cybersecurity, der Cisco auf das Problem aufmerksam machte. Die Lücke basiert auf statischen Zugangsdaten, die bei Cloud-Installationen nicht individuell generiert, sondern systematisch wiederverwendet werden – je nach Plattform und ISE-Version.

Was genau ist das Problem?

Laut Cisco handelt es sich um ein generelles Problem in der Cloud-Bereitstellung von ISE: Alle Instanzen einer bestimmten Version auf derselben Cloud-Plattform teilen sich dieselben Zugangsdaten. Ein Beispiel: Alle Cisco ISE 3.1-Installationen auf AWS verwenden identische Anmeldedaten.

Zwar unterscheiden sich die Zugangsdaten von Plattform zu Plattform und zwischen verschiedenen Versionen – aber innerhalb einer Version sind sie gleich. Dies öffnet Tür und Tor für gezielte Angriffe, wenn ein Angreifer Zugriff auf eine Instanz erlangt und die dort verwendeten Zugangsdaten auf andere Umgebungen überträgt.

Gefahrenpotenzial: Von Datenklau bis Systemstillstand

Die möglichen Folgen sind gravierend:

• Zugriff auf vertrauliche Daten
• Eingeschränkte administrative Operationen
• Manipulation von Systemkonfigurationen
• Störungen und Ausfälle im laufenden Betrieb

Betroffen sind alle ISE-Versionen 3.1 bis 3.4 auf den jeweiligen Plattformen, allerdings nur dann, wenn die Primary Administration Node (PAN) in der Cloud gehostet wird. On-Premises-Installationen sind nicht betroffen.

Hier noch einmal die Liste der betroffenen Versionen im Einzelnen:

• AWS – Cisco ISE in den Versionen 3.1, 3.2, 3.3 und 3.4
• Azure – Cisco ISE in den Versionen 3.2, 3.3 und 3.4
• OCI (Oracle Cloud Infrastructure) – Cisco ISE in den Versionen 3.2, 3.3 und 3.4

Exploit in Sicht – aber (noch) kein Missbrauch

Cisco weist darauf hin, dass ein Proof-of-Concept-Exploit bereits existiert. Hinweise auf aktive Ausnutzung in freier Wildbahn gibt es derzeit jedoch nicht. Dennoch rät das Unternehmen dringend zur raschen Installation der bereitgestellten Sicherheitsupdates.

Da es keine praktikablen Workarounds gibt, empfiehlt Cisco alternativ, den Befehl

**application reset-config ise**

auszuführen, um die Benutzerpasswörter zurückzusetzen. Allerdings führt dieser Schritt zur vollständigen Zurücksetzung der ISE-Konfiguration auf Werkseinstellungen – eine Maßnahme mit weitreichenden Konsequenzen.

Handlungsempfehlungen für Administratoren

• Sicherheitsupdates sofort einspielen
• Cloud-Zugriffe auf autorisierte Administratoren beschränken
• Netzwerkzugriffe auf offene Ports überprüfen und gegebenenfalls absichern
• Audit-Logs auf verdächtige Zugriffe kontrollieren
• Konfigurationen für neue Cloud-Deployments überdenken

Kleinste Unachtsamkeit, größtes Risiko

Die Schwachstelle CVE-2025-20286 ist ein mahnendes Beispiel für die Risiken standardisierter Cloud-Deployments ohne ausreichende Individualisierung. Besonders in sicherheitskritischen Umgebungen – etwa im KRITIS-Bereich – kann ein einziger Konfigurationsfehler massive Auswirkungen haben. Administratoren, die Cisco ISE in der Cloud betreiben, sollten schnell reagieren – bevor aus einer theoretischen Lücke ein realer Schaden wird.