Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 24.06.2026 · 4 min Lesezeit

Cisco ISE: Kritische Sicherheitslücke trotz erforderlicher Adminrechte

Cisco hat ein kritisches Sicherheitsupdate für die Identity Services Engine (ISE) veröffentlicht. Die als CVE-2024-20272 dokumentierte Schwachstelle erlaubt authentifizierten Angreifern mit Adminrechten die Ausführung von beliebigem Code auf dem betroffenen System. Betroffene Versionen und Patch-Informationen im Überblick.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Cisco ISE Sicherheitslücke mit Warnsymbol, Adminrechten und Netzwerkzugriff in moderner Cybersecurity News Grafik

Cisco hat am 19. Juni 2026 ein wichtiges Sicherheitsupdate für die Cisco Identity Services Engine (ISE) veröffentlicht. Die Schwachstelle CVE-2024-20272 mit einem CVSS-Basis-Score von 9,1 von maximal 10 Punkten ermöglicht es authentifizierten Angreifern mit bestehenden Adminrechten, beliebigen Code auf dem betroffenen System auszuführen. Obwohl ein Angreifer bereits über Administratorrechte verfügen muss, ist die Lücke aufgrund des hohen CVSS-Scores und der potentiellen Auswirkungen als kritisch eingestuft.

Meldung und Einordnung

Die Cisco Identity Services Engine ist eine zentrale Netzwerkzugangskontrolllösung (Network Access Control, NAC), die in vielen Unternehmen und Behörden zur Verwaltung und Absicherung des Netzwerkzugangs eingesetzt wird. ISE ermöglicht die zentrale Authentifizierung, Autorisierung und Accounting (AAA) für Netzwerkgeräte,Endpoints und Benutzer.

Ein Angreifer, der bereits Administratorzugriff auf die ISE-Konsole hat, kann die Schwachstelle ausnutzen, um seine Rechte weiter auszuweiten und Schadcode auf dem System zu installieren. In einer typischen Unternehmensumgebung bedeutet dies, dass ein kompromittierter Admin-Account oder ein Insider mit böswilliger Absicht die vollständige Kontrolle über die Netzwerkzugangskontrolle übernehmen könnte.

Die Besonderheit dieser Schwachstelle liegt darin, dass sie trotz der bereits erforderlichen hohen Berechtigungsstufe (Adminrechte) als kritisch eingestuft wurde. Dies liegt an der Möglichkeit, durch die Lücke eine vollständige Remote-Code-Ausführung (Remote Code Execution, RCE) zu erreichen, was einem Angreifer die Möglichkeit gibt, das gesamte System zu übernehmen.

CVE-Details und CVSS-Bewertung

AttributWert
CVE-IDCVE-2024-20272
SchweregradKritisch (Critical)
CVSS 3.1 Base Score9,1 (Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
Netzwerk-basierter Angriff (AV:N)Ja, über Netzwerk ausnutzbar
Komplexität (AC:L)Niedrig – keine besonderen Bedingungen erforderlich
Erforderliche Berechtigungen (PR:H)Administratorspezifisch auf ISE
Benutzerinteraktion (UI:N)Nicht erforderlich
Scope Changed (S:C)Ja – Auswirkungen auf andere Komponenten möglich
Vertraulichkeit (C:H)Vollständiger Verlust
Integrität (I:H)Vollständiger Verlust
Verfügbarkeit (A:H)Vollständiger Verlust

Der CVSS-Vektor zeigt, dass die Lücke über das Netzwerk ausgenutzt werden kann (AV:N), eine niedrige Angriffskomplexität aufweist (AC:L), aber Administratorsrechte auf dem ISE-System voraussetzt (PR:H). Da keine Benutzerinteraktion erforderlich ist (UI:N), kann ein Angreifer nach Erlangung der Adminrechte die Lücke automatisiert und ohne Zutun eines Opfers ausnutzen.

Betroffene Versionen und Patches

Die Sicherheitslücke betrifft spezifische Versionen der Cisco ISE-Software. Administratoren sollten umgehend prüfen, welche Version ihrer Installation entspricht:

  1. Cisco ISE Versionen vor 3.3 Patch 6 sind betroffen
  2. Cisco ISE Versionen 3.4 vor Patch 4 sind betroffen
  3. Cisco ISE Versionen 3.5 vor Patch 2 sind betroffen
  4. Cisco ISE Versionen 3.6 vor Patch 1 sind betroffen

Die folgenden Versionen enthalten den Patch und sind nicht mehr anfällig:

  1. Cisco ISE 3.3 Patch 6 und höher
  2. Cisco ISE 3.4 Patch 4 und höher
  3. Cisco ISE 3.5 Patch 2 und höher
  4. Cisco ISE 3.6 Patch 1 und höher
  5. Alle Versionen der ISE 4.x-Reihe (falls bereits im Einsatz)

Die Prüfung der installierten Version erfolgt im Cisco ISE Web-Interface unter Administration > System > Software-Aktualisierung oder über die Kommandozeile mit dem Befehl show version im ISE-Admin-Portal.

Administrative Maßnahmen

Netzwerkadministratoren sollten folgende Schritte unverzüglich einleiten:

  1. Prüfung der aktüll installierten Cisco ISE-Version auf dem laufenden System
  2. Abgleich der Version mit der Liste der betroffenen Versionen
  3. Planung und Durchführung des Patch-Updates auf eine gepatchte Version
  4. Überprüfung der Administrator-Accounts auf unbefugte Anmeldungen oder verdächtige Aktivitäten
  5. Audit der Admin-Zugänge: Wer hat wann und von wo Zugriff auf die ISE-Konsole?
  6. Aktivierung erweiterter Protokollierung für Administrative-Aktionen (Admin-Audit-Logs)
  7. Prüfung auf unerklärliche Änderungen in Netzwerkrichtlinien, ACLs oder Zugangsregeln
  8. Sicherstellung, dass für Admin-Zugriffe eine Multi-Faktor-Authentifizierung (MFA) konfiguriert ist
  9. Überprüfung der Backup-Integrität vor dem Patch-Prozess
  10. Einrichtung eines Maintenance-Windows für das Patch-Update

Warum die Lücke trotz Adminrechten kritisch ist

Auf den ersten Blick scheint die Anforderung von Administratorrechten das Risiko zu relativieren. Bei genaürer Betrachtung ergeben sich jedoch mehrere Besorgnis erregende Szenarien:

  1. Ein kompromittiertes Admin-Konto – etwa durch Phishing oder Credential-Stuffing – reicht als Ausgangspunkt
  2. Ein Rogü-Administrator oder ein Mitarbeiter mit erhöhten Rechten könnte die Lücke bewusst ausnutzen
  3. Laterale Bewegung: Nach Kompromittierung eines Admin-Kontos kann der Angreifer RCE erreichen und weitere Systeme angreifen
  4. Persistenz: Ein Angreifer kann durch die RCE eine daürhafte Präsenz im Netzwerk aufbauen
  5. Scope-Überschreitung: Der CVSS-Vektor S:C deutet darauf hin, dass die Auswirkungen über das ISE-System hinausgehen können
  6. In Network-Access-Control-Umgebungen kontrolliert ISE den gesamten Netzwerkzugang – ein Kompromiss hat weitreichende Folgen

Besonders problematisch ist das Szenario eines sogenannten Pass-the-Hash-Angriffs oder einer Kerberoasting-Attacke, bei der ein AngreiferHash-Werte von Service-Accounts abfängt und damit Adminrechte auf der ISE erlangt. Ab diesem Zeitpunkt wird die RCE-Schwachstelle zum Werkzeug für eine vollständige Übernahme.

Weitere Cisco-Produkte im selben Advisory

Das Cisco-Sicherheitsadvisory zu CVE-2024-20272 umfasst neben der ISE auch weitere Produkte, die administrator-basierte Angriffsvektoren teilen. Betroffene Administratoren sollten den vollständigen Advisory-Text auf der Cisco-Sicherheitsseite prüfen. Zu den häufig im selben Advisory genannten Produkten zählen:

  1. Cisco Identity Services Engine (ISE) – Prime Infrastructure Management Option
  2. Cisco ISE Express
  3. Cisco Secure Network Server (SNS-Geräte mit ISE-Software)
  4. Cisco Catalyst Center (ehemals DNA Center) – in älteren Versionen mit ISE-Integration

Es ist ratsam, den vollständigen Cisco-Sicherheitsbulletin regelmäßig zu prüfen, da ein einzelner Advisory häufig mehrere Produktversionen abdeckt.

Passende Anleitungen auf S-EDV

  1. FFmpeg PixelSmash: Kritische Sicherheitslücke in weit verbreitetem Video-Decoder
  2. Android 17: Google rollt Pixel Drop mit neuen Funktionen und Sicherheitspatches
  3. Gentlemen Ransomware: EDR-Killer deaktivieren Sicherheitssoftware von 48 Herstel

Quellen

  1. Heise: Cisco ISE – Kritische Sicherheitslücke trotz erforderlicher Adminrechte
  2. Cisco Security Advisories – Offizielles Portal
  3. CISA – Aktuelle Cybersicherheits-Warnungen
Verwandt

Weiter lesen

Alle Artikel →
Fake AI Agent Skill umgeht Security Scanner und erreicht 26.000 Agents in moderner Cybersecurity News Grafik
24.06.2026 ·4 min

Fake AI Agent Skill passiert alle Security-Scanner und erreicht 26.000 Agents

Die Sicherheitsfirma AIR hat einen gefälschten KI-Agenten-Skill entwickelt, der alle gängigen Sicherheitsscanner täuschte und über einen populären Skill-Marketplace sowie Instagram-Werbung auf rund 26.000 Agents verteilt wurde. Der Skill sammelte E-Mail-Adressen der Nutzer, aber der Proof-of-Concept zeigt, wie leicht bösartige Skills in KI-Agenten-Ökosysteme eingeschleust werden können.
Squidbleed Sicherheitslücke im Squid Proxy zeigt unverschlüsselte HTTP Requests und sensible Verbindungsdaten im Klartext. IT News Grafik zu einem 29 Jahre alten Proxy Bug mit Risiko für Datenschutz und Netzwerksicherheit.
24.06.2026 ·4 min

Squidbleed: 29 Jahre alter Squid-Proxy-Bug leakt HTTP-Requests im Klartext

Der Squid-Proxy hat eine kritische Sicherheitslücke, die unter dem Namen Squidbleed bekannt wurde. Ein Heap-Overread in der FTP-Parsing-Logik aus dem Jahr 1997 kann fremde HTTP-Requests inklusive Credentials und Session-Tokens an andere Nutzer des gleichen Proxys preisgeben. Die Lücke ist in der Standardkonfiguration ausnutzbar. Ein Update auf Squid 6.15 oder 5.10 schließt die Lücke.
US Präsident Donald Trump treibt den Ausbau der Quantencomputer Forschung in den Vereinigten Staaten voran. Symbolische Darstellung eines modernen Quantencomputers mit leuchtenden Qubits, digitalen Netzwerken und futuristischer Hochleistungsrechenzentrum
24.06.2026 ·7 min

Trump ordnet schnelleren Ausbau von Quantencomputern in den USA an

US-Präsident Trump hat am 23. Juni 2026 eine Executive Order unterzeichnet, die den Ausbau von Quantencomputing-Kapazitäten in den USA massiv beschleunigen soll. NIST, das Energieministerium und das Pentagon sind eingebunden. Kritiker warnen vor den Auswirkungen auf die Post-Quantum-Kryptographie und die sogenannte Q-Day-Diskussion — die Befürchtung, dass leistungsstarke Quantencomputer heutige Verschlüsselungsstandards brechen könnten.