思科身份服务引擎漏洞可致攻击者意外重启系统

思科身份服务引擎（ISE）存在一个高危漏洞（CVE-2024-20399），远程攻击者可通过构造特定的RADIUS请求序列使系统崩溃。该漏洞源于ISE处理被拒绝终端重复认证失败时的逻辑缺陷，会造成拒绝服务状态并强制系统意外重启。

Part01

漏洞技术细节

该漏洞的根源在于RADIUS配置中存在逻辑错误，系统会在多次失败后拒绝客户端请求。攻击者可针对已被标记为拒绝终端的MAC地址发送特制的RADIUS访问请求消息进行利用。

当ISE处理这些恶意请求时，系统会崩溃并意外重启，导致整个网络的认证服务中断。此类攻击无需任何认证凭证，对依赖ISE进行网络访问控制和终端管理的机构尤为危险。

Part02

受影响版本

思科ISE 3.4.0至3.4 Patch 3版本默认存在风险，因为这些版本默认启用了"拒绝来自多次失败客户端的RADIUS请求"设置。

Part03

潜在影响与缓解措施

作为网络访问控制、设备认证和合规策略执行的核心组件，ISE意外重启会导致企业失去网络活动可视性，合法用户和设备可能出现认证失败，这种连锁反应可能破坏整个网络基础设施的业务运营。

思科已提供多种解决方案：

• 企业可立即在管理控制台中关闭存在漏洞的RADIUS设置（但思科建议系统打补丁后重新启用）
• 应将ISE 3.4系统升级至Patch 4或更高版本
• 管理员需检查ISE配置路径（管理 > 系统 > 设置 > 协议 > RADIUS）验证当前状态

值得注意的是，早期版本（3.3及以下）和新版本（3.5+）不受此问题影响。由于该漏洞仅影响启用了重复失败拒绝设置的系统，因此在计划升级期间禁用该设置可提供临时保护。

参考来源：

Cisco Identity Services Engine Vulnerability Allows Attackers to Restart ISE Unexpectedly

https://cybersecuritynews.com/cisco-identity-services-engine-ddos-vulnerability/

---

推荐阅读

电台讨论