Cisco Peringatkan Celah di Identity Services Engine dengan Kode Eksploit Publik

Cisco merilis pembaruan keamanan untuk menambal sebuah kerentanan pada solusi kontrol akses jaringan Cisco Identity Services Engine (ISE). Celah ini disertai kode eksploit proof-of-concept (PoC) yang telah tersedia secara publik dan dapat disalahgunakan oleh penyerang dengan hak administratif.

Cisco ISE digunakan oleh administrator enterprise untuk mengelola akses endpoint, pengguna, dan perangkat ke sumber daya jaringan, sekaligus menegakkan arsitektur zero-trust. Kerentanan yang dimaksud dilacak sebagai CVE-2026-20029 dan memengaruhi Cisco ISE serta Cisco ISE Passive Identity Connector (ISE-PIC), terlepas dari konfigurasi perangkat yang digunakan.

Menurut Cisco, celah ini disebabkan oleh proses parsing XML yang tidak semestinya pada antarmuka manajemen berbasis web milik Cisco ISE dan ISE-PIC. Penyerang dengan kredensial administrator yang sah dapat mengeksploitasi kelemahan tersebut dengan mengunggah berkas berbahaya ke aplikasi. Jika berhasil, eksploitasi memungkinkan pembacaan berkas arbitrer dari sistem operasi yang mendasarinya, termasuk data sensitif yang seharusnya tidak dapat diakses, bahkan oleh administrator sekalipun.

Meski Cisco Product Security Incident Response Team (PSIRT) menyatakan belum menemukan bukti adanya eksploitasi aktif di lapangan, Cisco menegaskan bahwa kode PoC telah beredar secara publik. Kondisi ini meningkatkan risiko penyalahgunaan, terutama pada sistem yang belum diperbarui.

Cisco menekankan bahwa solusi sementara atau mitigasi apa pun hanya bersifat sementara dan tidak sepenuhnya menghilangkan risiko. Oleh karena itu, perusahaan sangat merekomendasikan pelanggan segera memperbarui perangkat lunak ke rilis yang telah diperbaiki untuk mencegah paparan lebih lanjut.

Untuk panduan pembaruan, Cisco menyebutkan bahwa pengguna versi lebih lama dari 3.2 harus bermigrasi ke rilis yang telah diperbaiki. Sementara itu, Cisco ISE versi 3.2 memerlukan Patch 8, versi 3.3 juga membutuhkan Patch 8, dan versi 3.4 harus diperbarui ke Patch 4. Cisco ISE versi 3.5 dinyatakan tidak terdampak oleh kerentanan ini.

Dalam perkembangan terkait, Cisco juga menambal sejumlah kerentanan lain pada IOS XE yang dapat memungkinkan penyerang jarak jauh tanpa autentikasi memicu gangguan layanan atau mengakses informasi sensitif pada aliran data Snort. Namun, untuk kerentanan tersebut, Cisco menyebut belum ada kode eksploit publik maupun indikasi eksploitasi aktif.

Sejumlah insiden sebelumnya menunjukkan bahwa celah pada Cisco ISE kerap menjadi target bernilai tinggi. Pada November lalu, tim intelijen ancaman Amazon mengungkap bahwa pelaku kejahatan siber mengeksploitasi zero-day Cisco ISE dengan tingkat keparahan maksimum untuk menyebarkan malware khusus. Bahkan, setelah ditambal, Cisco kemudian mengonfirmasi bahwa kerentanan tersebut dieksploitasi secara aktif dan kode PoC juga dipublikasikan.

Rangkaian temuan ini kembali menegaskan pentingnya pengelolaan patch yang cepat dan disiplin pada infrastruktur jaringan kritis. Organisasi yang menggunakan Cisco ISE dan ISE-PIC disarankan segera memastikan sistem mereka telah diperbarui ke versi aman guna meminimalkan risiko kebocoran data dan penyalahgunaan akses administratif.