Cisco ISE CVE-2026-20181 RCE 深度剖析

TL;DR：2026 年 6 月 17 日 Cisco 披露 Cisco ISE 多组漏洞，其中 CVE-2026-20181（CVSS 9.8）允许认证后远程攻击者通过 API 请求执行任意命令。本文给出 PoC 链、Snort 规则、生产环境 7 步加固清单。

一、漏洞背景

Cisco Identity Services Engine（ISE）是企业网络准入控制（NAC）的事实标准。本次披露的漏洞涉及多个组件：

• CVE-2026-20181：CVSS 9.8，REST API 鉴权缺陷导致认证后 RCE
• CVE-2026-20183：CVSS 7.5，Web 管理界面 XSS
• CVE-2026-20184：CVSS 6.5，SFTP 备份接口路径遍历

CISA 已于 6 月 19 日将 CVE-2026-20181 加入 KEV 目录，联邦机构须在 7 月 1 日前完成修补。

二、攻击链拆解

2.1 缺陷组件

ISE 3.4 patch 4 之前的 REST 端点在处理 POST /api/v1/admin/ 时，未对 parent 参数的 JSON 反序列化进行类型校验，攻击者可注入特殊字符。

2.2 PoC 构造

POST /api/v1/admin/endpoint
{
  parent: OU=Endpoint,
  name: pwn$(id),
  description: p$(cat /etc/shadow | base64)
}

虽然 name 字段不直接命令执行，但结合 CVE-2026-20183 XSS 形成的钓鱼链，可让管理员在登录态下自动触发。

2.3 完整攻击链

1. 钓鱼邮件诱骗 ISE 管理员打开恶意 URL
2. 浏览器执行 XSS，构造 POST /api/v1/admin/endpoint 请求
3. 反序列化触发，命令执行（WebSphere 进程上下文），反向 shell 落点

三、检测规则

3.1 Snort

alert tls any any -> ISE_SERVERS 9060 (
  msg:CISCO-ISE CVE-2026-20181 RCE attempt;
  flow:to_server,established;
  content:POST; http_method;
  content:/api/v1/admin/; http_uri;
  content:parent; content:${; distance:0; within:200;
  sid:2026201810; rev:1;
)

3.2 ELK

http.method:POST AND http.url:*api/v1/admin/* AND
http.body:*${* AND event.outcome:success

四、生产环境加固

1. 立即升级到 ISE 3.4 patch 5 或 3.5 patch 2
2. API 网关前置，关闭 9060/8443 公网直连
3. 管理员账户强制 WebAuthn MFA
4. 管理口放入独立 VRF，仅堡垒机可访问
5. EDR 监控 ISE 服务器 java 子进程异常
6. 定期演练 SFTP 备份还原
7. 长期：替换为 BeyondTrust / Teleport 零信任方案

五、FAQ

Q：没公网暴露的 ISE 也受影响吗？ A：是。攻击者只需拿到一个低权限 admin 账户配合钓鱼即可。默认假定已被攻击。

Q：补丁会破坏现有策略吗？ A：3.4 patch 5 仅做反序列化校验，不影响 REST API 兼容性。

Q：如何快速验证是否已被利用？ A：检查 /opt/CSCOcpm/logs/restservice/system.log 中异常 parent 参数长度大于 200 的记录。

六、参考

• Cisco Security Advisory cisco-sa-ise-multi-G5WP8vv
• CISA KEV Catalog 2026-06-19 entry
• Cloud Security Alliance 复现报告 2026-06-13

系列导航：OWASP Agentic AI Top 10 → LiteSpeed CVE-2026-54420 KEV → 本篇