Identity Services Engine

Die Schwachstelle steckt in einer bestimmten API der Cisco Identity Services Engine und der zugehörigen Variante ISE-PIC, einer Plattform für Netzwerkzugriff und Authentifizierung. Ursache ist eine unzureichende Prüfung von Eingaben, die ein Nutzer an diese Schnittstelle übergibt. Dadurch kann ein Angreifer schädliche Inhalte einschleusen (Injection): Er sendet eine speziell präparierte API-Anfrage, und das System verarbeitet die enthaltenen Daten ohne ausreichende Kontrolle. In der Folge lässt sich beliebiger Code auf dem zugrunde liegenden Betriebssystem ausführen – und zwar mit Root-Rechten, also den höchsten Systemrechten und damit der vollständigen Kontrolle über das Gerät. Besonders schwerwiegend ist, dass der Angriff aus der Ferne und ganz ohne gültige Zugangsdaten oder vorherige Anmeldung gelingt. Da die Identity Services Engine eine zentrale Rolle bei der Zugriffssteuerung im Netzwerk spielt, kann eine Übernahme weitreichende Folgen für die gesamte Infrastruktur haben.