Cisco ISE: 3 kritische CVEs mit CVSS 9.9

NETZWERK-ALARM für JEDEN Admin! Cisco hat in der Nacht ein Sicherheits-Bulletin rausgehauen, das es in sich hat: Drei kritische Lücken in der Identity Services Engine (ISE) — alle mit CVSS-Score 9.9, alle ohne Authentifizierung ausnutzbar. CVE-2026-20180, CVE-2026-20186 und CVE-2026-20147. Wer ISE als zentrale 802.1X-Drehscheibe für sein Netzwerk betreibt, muss JETZT updaten.

UNGLAUBLICH: Drei 9.9er auf einen Schlag

ISE ist Ciscos zentrale Identity- und Zugangs-Engine — sie steuert, welcher Mitarbeiter, welches Gerät, welche IoT-Box ins Netz darf. Wenn die fällt, fällt alles. Die drei neuen Lücken erlauben unauthentifizierte Remote-Code-Execution auf dem Management-System. Heißt: Ein Angreifer braucht KEIN gültiges Konto, KEIN Zertifikat — nur Netzwerksicht auf die ISE-Appliance.

SCHOCK: Webex zusätzlich verwundbar

Parallel hat Cisco CVE-2026-20184 in Webex Meetings veröffentlicht — CVSS 9.8, ebenfalls kritisch. Die Lücke sitzt im Core-Meeting-Service und lässt einen Angreifer unter bestimmten Konfigurationen ohne Auth aktiv werden. Wer Webex on-prem betreibt oder die Hybrid-Anbindung nutzt, sollte hier ebenfalls patchen.

GEFAHR: Crosswork und Unity Connection

Cisco hat in derselben Welle zwei High-Severity-Bugs gefixt: CVE-2026-20188 erlaubt einen Denial-of-Service in Crosswork Network Controller und Network Services Orchestrator — der Reboot muss manuell erfolgen, wp-cron rettet hier nichts. CVE-2026-20034 und 20035 in Unity Connection öffnen Server-Side-Request-Forgery. Wer 9.9 schon patcht, sollte den Rest gleich mitmachen.

EXTRA-TIPP: Management-Port absichern

Selbst wenn du heute Abend nicht mehr updaten kannst — schiebe den ISE-Management-Port hinter ein VPN oder ein Segment, das von außen unerreichbar ist. Genauso wichtig: Logs der letzten 14 Tage prüfen auf ungewöhnliche Zugriffe oder POST-Requests an die API. Wer auf 3.1 oder älter steht, ist sowieso aus dem Support — Migration auf 3.4 oder 3.5 ist überfällig.

FAZIT: 9.9 = SOFORT, nicht morgen

Cisco-Advisories mit CVSS 9.9 und „Critical” sind keine Wochenend-Aufgabe. Der Hersteller kommuniziert, dass Exploits in der Bug-Datenbank kursieren. Wenn du in einem Unternehmen sitzt: Diese Nacht ist Patchnacht. Wenn du Service-Provider bist: Notification an Kunden raus, Maintenance-Fenster jetzt. Wer Cisco DNA Center oder Catalyst Center nutzt — vergiss nicht: ISE ist deren Backbone.

Häufige Fragen

Welche Versionen sind betroffen?

ISE 3.1, 3.2 vor Patch 9, sowie die älteren Releases 2.7 und 3.0 (offiziell aus Support). Cisco listet die fixed releases im Security Advisory; 3.3 Patch 5 und 3.4 Patch 1 sind die offiziell sicheren Stände.

Wie merke ich, ob mein System verwundbar ist?

Über das ISE Admin Portal unter About → Version. Wer 3.2 oder älter ohne aktuellen Patch fährt, muss handeln. Cisco bietet ein PSIRT-OpenVuln-API-Tool, das die Versionsabhängigkeit per Skript prüft.

Wie behebe ich das Problem konkret?

Update auf die fixed Releases einspielen. Pre-Check: Cluster-Mitglieder synchronisieren, dann rollend updaten — PAN zuerst, dann MnT, dann PSN. Reboot pro Node ca. 30 Minuten.

Gab es schon aktive Angriffe?

Cisco hat dies bislang nicht bestätigt, weist aber auf hohe Exploit-Wahrscheinlichkeit hin. CVSS 9.9 ohne Auth = Skript-Kiddies werden den Bug innerhalb von Tagen weaponizen. Frühzeitig patchen.

Quellen:

ISE-ALARM! Drei kritische 9.9er-Lücken reißen JETZT JEDE Cisco Identity Engine auf — Patch pflichtig