Eine Schwachstelle in der Funktion „Reject RADIUS requests from clients with repeated failures„ in Cisco Identity Services Engine (ISE) kann von einem nicht authentifizierten, entfernten Angreifer ausgenutzt werden, um einen Denial-of-Service (DoS)-Zustand zu verursachen.
Grund ist ein Logikfehler bei der Verarbeitung von RADIUS-Zugriffsanfragen für bereits abgelehnte MAC-Adressen. Durch das Senden speziell gestalteter RADIUS-Anfragen kann ein Angreifer einen unerwarteten Neustart des Cisco ISE auslösen.
Bewertung und Schwere der Sicherheitslücke
- CVSS Score: 8.6 (hoch)
- CVE-ID: CVE-2025-20343
- CWE: CWE-697
Betroffene ISE Versionen
- Cisco ISE 3.4.0
- Cisco ISE 3.4 Patch 1
- Cisco ISE 3.4 Patch 2
- Cisco ISE 3.4 Patch 3
Nicht Betroffene ISE Versionen
- Cisco ISE 3.3 und älter
- Cisco ISE 3.5
Handlungsempfehlung und Lösung
- Kurzfristige Maßnahme:
Die betroffene Funktion ist standardmäßig aktiviert und kann deaktiviert werden, um die Schwachstelle temporär zu entschärfen.
Vorgehensweise zur Deaktivierung:- Navigiere zu Administration > System > Settings > Protocols > RADIUS
- Abschnitt Suppress Repeated Failed Clients and repeated accounting
- Entferne das Häkchen bei Reject RADIUS requests from clients with repeated failures
- Langfristige Lösung:
Cisco ein Software-Update zur Behebung der Schwachstelle veröffentlicht. - Empfehlung:
Betroffenen Nutzern wird ein Update der ISE 3.4 auf Patch 4 dringend empfohlen.
Download Patch 4 (ISE 3.4)
Weitere Informationen sind im Cisco Security Advisory verfügbar.
Matthias Beller 
Thomas Seidt