思科近日披露身份服务引擎（ISE）和客户协作平台（CCP）存在三个高危安全漏洞，其中编号为CVE-2025-20286的漏洞被评定为9.9/10的“严重”级别。攻击者已可通过公开的概念验证（PoC）代码利用该漏洞，对部署在亚马逊云科技（AWS）、微软Azure及甲骨文云基础设施（OCI）上的ISE实例发起攻击，获取敏感数据、篡改系统配置甚至瘫痪服务。

漏洞细节：云平台凭据共享引发连锁风险
CVE-2025-20286源于ISE在云环境中生成登录凭证时的缺陷。当主管理节点部署于云端时，不同客户的ISE实例可能共享相同默认凭证，导致攻击者通过不安全端口横向渗透至其他云环境中的实例。思科产品安全事件响应团队（PSIRT）证实，针对该漏洞的PoC代码已公开，加剧了实际攻击风险。

影响范围与例外场景
受影响产品包括：

• ISE云部署：AWS、Azure、OCI平台上的主管理节点部署
• CCP协作平台：依赖ISE认证的集成环境

但以下场景不受影响：

1. 本地部署：无论物理设备还是虚拟机形式（包括从思科软件中心下载的ISO/OVA镜像）；
2. 特定云虚拟机方案：如Azure VMware解决方案、Google Cloud VMware引擎、AWS VMware云；
3. 混合部署：仅当主管理节点位于本地，云端仅承载非管理员角色时。

企业需立即采取行动
思科已发布补丁修复全部三个漏洞（CVE-2025-20286、CVE-2025-20130、CVE-2025-20129），并强烈建议用户：

1. 优先为云端ISE主管理节点升级至修复版本；
2. 审查云架构，避免将管理员角色暴露于公网；
3. 启用多因素认证（MFA）及网络隔离策略，降低凭据泄露风险。

行业影响与背景
ISE作为思科核心网络访问控制平台，广泛用于企业零信任架构部署。此次漏洞暴露出多租户云环境中默认配置的安全隐患，尤其当主控节点集中于云端时，单一漏洞可能引发连锁反应。随着企业加速上云，此类跨平台安全风险将成为监管与合规审查的重点。

目前，思科尚未观测到在野攻击案例，但鉴于PoC代码的扩散，安全专家警告攻击者可能快速武器化该漏洞。企业IT团队需在修补窗口期内完成升级，以避免成为首个公开案例。