Identity Services Engine

Die Schwachstelle betrifft eine bestimmte Programmierschnittstelle (API) der Cisco Identity Services Engine sowie der zugehörigen Variante ISE-PIC – einer zentralen Plattform zur Steuerung des Netzwerkzugriffs, die festlegt, welche Geräte und Nutzer sich mit einem Netzwerk verbinden dürfen. Ursache ist eine unzureichende Prüfung der von außen übergebenen Eingaben: Diese API verarbeitet eingehende Daten, ohne sie ausreichend zu kontrollieren. Dadurch kann ein Angreifer über eine speziell präparierte API-Anfrage eigene Befehle einschleusen. Der Angriff gelingt aus der Ferne und ohne jegliche gültige Zugangsdaten, also völlig unauthentifiziert. Im Erfolgsfall führt der Angreifer beliebigen Code direkt auf dem zugrunde liegenden Betriebssystem aus – und zwar mit Root-Rechten, der höchsten Berechtigungsstufe. Damit erlangt er die vollständige Kontrolle über das betroffene Gerät. Da diese Plattform den Netzwerkzugang reguliert, wiegt eine Übernahme besonders schwer.