Skip to content
hacker_posts

Cisco ISE CVE-2026-20181 : RCE root sur 3.5, patch intégré reporté à août

CERTFR-2026-AVI-0772 (18 juin) couvre CVE-2026-20181 (RCE authentifié CVSS 9.1, Critical) et CVE-2026-20190 (divulgation creds, CVSS 7.5). Branche 3.5 sans correctif intégré avant août.

Publié le 4 min de lecture
cveciscoalertecert-fr

Le CERT-FR a publié le 18 juin 2026 l'avis CERTFR-2026-AVI-0772 qui répercute le bulletin Cisco cisco-sa-ise-multi-G5WP8vv du 17 juin. Deux vulnérabilités dans Cisco Identity Services Engine (ISE) et Cisco ISE Passive Identity Connector (ISE-PIC) :

  • CVE-2026-20181exécution de code à distance authentifiée, CVSS 9.1, classée Critical par Cisco PSIRT. Un attaquant disposant d'identifiants administrateur peut exécuter des commandes arbitraires sur le système d'exploitation sous-jacent et élever ses privilèges vers root.
  • CVE-2026-20190divulgation d'informations non authentifiée, CVSS 7.5, classée High. Un attaquant non authentifié peut récupérer des identifiants hachés exploitables ensuite pour franchir le seuil d'authentification de la première CVE.

L'enchaînement des deux est ce qui rend la combinaison opérationnellement dangereuse : 20190 fournit les creds, 20181 ouvre le shell root. Cisco déclare qu'aucun workaround n'est documenté — seul le correctif règle le problème.

Versions concernées

D'après l'avis Cisco :

  • ISE et ISE-PIC 3.3 — antérieures à 3.3 Patch 11. Correctif intégré disponible.
  • ISE et ISE-PIC 3.4 — antérieures à 3.4 Patch 6. Correctif intégré disponible.
  • ISE et ISE-PIC 3.5 — antérieures à 3.5 Patch 4. Correctif intégré planifié pour août 2026 — pas encore livré au 19 juin.

Pour la branche 3.5, Cisco met à disposition un hot patch sur demande via le TAC dans l'attente du correctif intégré. Les opérateurs en 3.5 doivent donc soit ouvrir un ticket TAC, soit accepter une fenêtre d'exposition de plus de six semaines.

Détails techniques

CVE-2026-20181 — la racine est une validation insuffisante d'entrée utilisateur dans le traitement d'une requête HTTP soumise à un endpoint d'administration. Un attaquant authentifié avec un compte administrateur envoie une requête forgée, le binaire ISE qui parse la requête appelle un sous-processus avec des arguments contrôlés par l'attaquant, l'exécution s'enchaîne. Cisco précise que sur un déploiement single-node, l'exploitation peut crasher le nœud ISE et bloquer toute authentification réseau ultérieure — déni de service applicatif en plus de la prise de contrôle.

CVE-2026-20190 — un contrôle d'autorisation manque sur certains endpoints, ce qui expose à un attaquant non authentifié des données sensibles incluant des empreintes de mots de passe. Le couple authentification absente + empreintes extractibles est ce qui transforme cette CVE de « High » en pivot opérationnel : un attaquant qui casse une empreinte récupère un compte capable de déclencher 20181.

Découverte attribuée par Cisco PSIRT à Jonathan Lein (TrendAI Research) et indépendamment à Li Jiantao et Tevel Sho (STAR Labs SG Pte. Ltd.). Cisco PSIRT déclare ne pas avoir constaté d'exploitation active ni de PoC public au moment de l'avis.

Que faire

  1. Mettre à jour vers les patches publiés : 3.3 Patch 11 ou 3.4 Patch 6 selon la branche déployée. Action prioritaire de la semaine pour tout opérateur ISE.
  2. Pour la branche 3.5 : ouvrir un ticket Cisco TAC dès aujourd'hui pour récupérer le hot patch, en attendant le correctif intégré annoncé pour août 2026. Ne pas laisser passer six semaines sans action.
  3. Rotation des identifiants administrateurs ISE sur tout déploiement exposé en pré-patch. Si un attaquant a pu extraire des empreintes via 20190 puis franchir 20181, les comptes admin sont à considérer comme compromis — même sans trace évidente.
  4. Restreindre l'accès aux interfaces d'administration ISE au plan de gestion uniquement. L'interface d'admin et les endpoints d'API n'ont pas vocation à être joignables depuis le LAN utilisateur ; vérifier ACL et segments VLAN.
  5. Déploiements single-node : prévoir une fenêtre de maintenance avec basculement contrôlé, parce que 20181 peut crasher le service et qu'aucun nœud secondaire ne reprend l'authentification.
  6. Auditer les logs d'administration ISE sur les 30 derniers jours : requêtes HTTP malformées vers les endpoints d'administration, connexions admin depuis des IP inattendues, créations de comptes de service injustifiées.

Contexte

C'est la troisième vulnérabilité Cisco majeure documentée par le CERT-FR ce mois-ci, après CVE-2026-20230 sur Unified CM (4 juin) et CVE-2026-20245 sur Catalyst SD-WAN Manager (9 juin). Dans les trois cas, l'élévation vers root est l'aboutissement et, comme pour CUCM 15, le correctif intégré sur la branche la plus récente est repoussé de plusieurs semaines voire mois au profit de patches intermédiaires ou de hot patches via le support.

Le motif est désormais récurrent sur les infrastructures Cisco en 2026 : chaîne de divulgation correcte côté éditeur, mais discipline de release imparfaite sur les branches les plus récentes. Pour les opérateurs qui exploitent ISE comme contrôle d'accès réseau dans un périmètre NIS2, une fenêtre d'exposition de six semaines n'est pas supportable sans hot patch — le ticket TAC se prépare cette semaine, pas en août.

Pour les RSSI : l'exposition d'ISE est typiquement interne (segment de gestion), mais l'attaque CVE-2026-20190 est non authentifiée. Une compromission préalable sur le LAN d'administration suffit. Le périmètre à durcir n'est donc pas seulement l'ISE lui-même, mais le segment de gestion qui l'héberge.

Articles liés