Cisco hat eine kritische Sicherheitslücke in seinem Identity Services Engine (ISE) Produkt bekannt gegeben, die speziell Cloud-Deployments auf den Plattformen Amazon Web Services (AWS), Microsoft Azure und Oracle Cloud Infrastructure (OCI) betrifft. Diese Schwachstelle, identifiziert unter der CVE-Nummer CVE-2025-20286, besitzt einen CVSS-Schweregrad von 9,9 von 10 und wird als statische Anmeldeinformationen-Schwachstelle beschrieben. Somit handelt es sich um eine hochriskante Bedrohung, die es potenziellen Angreifern ermöglicht, ohne Authentifizierung und aus der Ferne in die Systeme einzudringen. Die Auswirkungen betreffen das Auslesen sensibler Daten, die Durchführung eingeschränkter administrativer Aktionen, das Manipulieren von Systemkonfigurationen sowie die Beeinträchtigung von Diensten im betroffenen Umfeld. Cisco weist darauf hin, dass diese Herausforderung nur Cisco ISE-Installationen betrifft, bei denen die Primäre Admin-Node in der Cloud betrieben wird.
On-Premises-Deployments bleiben von der Lücke unberührt. Laut Cisco resultiert die Schwachstelle aus einer fehlerhaften Art und Weise, wie Anmeldeinformationen während der Bereitstellung von Cisco ISE auf Cloud-Plattformen generiert werden. Aufgrund dessen teilen sich Instanzen mit derselben Release-Version innerhalb einer Cloud-Plattform identische statische Zugangsdaten. Beispielsweise haben alle Installationen von Cisco ISE Release 3.1 auf AWS identische Zugangsdaten.
Diese sind jedoch nicht plattformübergreifend gültig, ebenso wenig wenn unterschiedliche Softwareversionen verwendet werden. Diese statischen Zugangsdaten können von Angreifern extrahiert und für unautorisierte Zugriffe auf andere Cisco ISE-Infrastrukturen in der jeweiligen Cloud-Umgebung genutzt werden, sofern unsichere Ports erreichbar sind. Sensible Unternehmensdaten und Netzwerkkonfigurationen sind somit direkt gefährdet. Die betroffenen Versionen verteilen sich auf mehrere Software-Releases je nach Plattform. AWS-Deployments mit den Versionen 3.
1 bis 3.4 sind betroffen, Microsoft Azure Installationen ab Version 3.2 bis 3.4 sowie Oracle Cloud Infrastructure Deployment in gleicher Versionspalette. Aufgrund der Tragweite hat Cisco bereits Sicherheitsupdates veröffentlicht und empfiehlt allen betroffenen Organisationen, diese zeitnah zu installieren.
Zusätzlich gibt es keine Workarounds, die das Problem abschließend beheben, jedoch können Zugriffe auf betroffene Systeme durch das Einschränken des Verkehrs auf autorisierte Administratoren reduziert werden. Außerdem weist Cisco darauf hin, dass der Befehl "application reset-config ise" dazu genutzt werden kann, um Benutzerpasswörter neu zu setzen. Dies führt jedoch zu einem zurücksetzen der Plattform auf Werkseinstellungen, was im laufenden Betrieb erhebliche Konsequenzen haben kann. Die Entdeckung der Schwachstelle geht auf Kentaro Kawane von GMO Cybersecurity zurück, dessen verantwortungsbewusste Meldung es ermöglicht hat, die Sicherheitslücke schnell zu adressieren. Obwohl eine öffentlich bekannte Proof-of-Concept-Implementierung vorhanden ist, gibt es bisher keine Nachweise eines böswilligen Einsatzes durch Hacker oder Cyberkriminelle.
Trotz dessen gilt es, dass die Schwachstelle aufgrund des möglichen Angriffsvektors höchste Aufmerksamkeit von Verantwortlichen in der IT-Sicherheit erfordert. Besonders Unternehmen, die stark auf Cloud-Infrastrukturen im Zusammenspiel mit Cisco ISE setzen, sollten ihre Sicherheitsaudits unverzüglich durchführen und Updates implementieren. Die Netzwerksicherheitslösung Cisco ISE wird vielfach genutzt, um Benutzer- und Geräteidentitäten zu verwalten, Zugriffskontrollen durchzusetzen und Richtlinien innerhalb von Unternehmensnetzwerken zentral zu steuern. Durch den Authentifizierungs-Bypass besteht die Gefahr, dass unbefugte Nutzer administrative Rechte erlangen und dadurch Sicherheitsrichtlinien umgehen können. Dies wiederum gefährdet den Schutz von Netzwerken und Daten erheblich und kann in Kombination mit anderen Schwachstellen zum kompromittieren kompletter Infrastrukturkomponenten führen.
Darüber hinaus zeigt der Fall exemplarisch die Herausforderungen bei Cloud-nativen Deployments, wo vermeintlich sichere Software durch Konfigurationsfehler oder Implementationsschwächen ungewollte Angriffsflächen bieten kann. Der Cloud-Einsatz bleibt aufgrund seiner dynamischen und verteilten Natur eine zunehmende Herausforderung für Sicherheitsteams. Um derartige Schwachstellen zu minimieren, empfiehlt es sich neben der zeitnahen Einspielung von Sicherheitspatches, eine umfassende Überprüfung von Zugriffsrichtlinien sowie Netzwerkkonfigurationen durchzuführen. Auch eine Segmentierung sensibler Bereiche und das Monitoring unüblicher Zugriffsversuche sind wichtige ergänzende Maßnahmen. Unternehmen sollten genau prüfen, an welchen Stellen Cisco ISE mit der Cloud gekoppelt ist, und gezielt prüfen, ob dort der Primär-Administration-Knoten remote läuft.
Ist dies der Fall, sind schnelle Gegenmaßnahmen unumgänglich. Ein Verständnis der zugrunde liegenden Architektur und genutzten Versionsstände hilft, das Risiko transparent zu machen und Abläufe zur Vorfallsreaktion vorzubereiten. Die Vernetzung zwischen verschiedenen Cloud-Anbietern wird immer komplexer und vielfältiger. Wenn statische Zugangsdaten über Plattformen hinweg ungewollt geteilt werden, entsteht ein erhebliches Risiko nicht nur für einzelne Organisationen, sondern auch im größeren Maßstab für ganze Industriesektoren. Verschärfend wirkt die Tatsache, dass Standard-Sicherheitsverfahren wie Zugriffsmanagement und Netzwerkisolation bei fehlerhaften Implementierungen umgangen werden können.
Zusätzlich verstärkt dieser Fall das Bewusstsein, wie essenziell sichere DevOps-Praktiken und regelmäßige Sicherheitsüberprüfungen bei Cloud-Applikationen sind. Nur so lassen sich Schwachstellen vor der produktiven Nutzung zuverlässig identifizieren und schließen. Angesichts der anhaltenden Digitalisierung und der massiven Migration von IT-Systemen in die Cloud können derartige Vorfälle die Sicherheitslandschaft nachhaltig prägen. Cisco arbeitet aktiv an weiteren Verbesserungen der ISE-Produktreihe und hat in Folge der Entdeckung bereits Maßnahmen für künftige Releases angekündigt. Trotzdem müssen Nutzer vorhandener Versionen proaktiv handeln und die notwendigen Patches umgehend einspielen.
Das Vermeiden von unbefugtem Zugriff auf kritische Netzwerkkomponenten bleibt ein zentraler Baustein jeder Cybersicherheitsstrategie. Aus der Perspektive der Cybersicherheit betont diese Sicherheitslücke erneut die Bedeutung einer ganzheitlichen Betrachtung von Systemen in hybriden und multicloud-Umgebungen. Sicherheitsverantwortliche werden aufgerufen, das Zusammenspiel von technischen Komponenten, administrativen Prozessen und organisatorischen Vorgaben beständig zu überprüfen und anzupassen. Nur eine kontinuierliche Sicherheitskultur auf allen Ebenen kann angesichts wachsender Herausforderungen schützen. Zusammenfassend lässt sich festhalten, dass die CVE-2025-20286 eine kritische Gefahr für Cisco ISE Cloud-Deployments darstellt und Anwender dringend ihre Systeme aktualisieren müssen.
Die Kombination aus statischen, release- und plattformspezifischen Zugangsdaten sowie der fehlenden Authentifizierung bietet Angreifern eine attraktive Angriffsfläche mit weitreichenden Folgen. Es gilt die aktuelle Lage aufmerksam zu verfolgen, veröffentlichte Patches zeitnah einzuspielen und parallel das eigene Sicherheitskonzept zu überprüfen und zu stärken. Nur so können Unternehmen ihre Cloud-Infrastrukturen effektiv gegen diese und weitere Bedrohungen schützen und den sicheren Betrieb ihrer Netzwerke gewährleisten.
