Kritiske sårbarheder i Cisco Secure Firewall Management Center
Cisco har i denne uge offentliggjort to kritiske sårbarheder, der rammer Secure Firewall Management Center (FMC). Begge sårbarheder har fået en CVSS-score på 10,0, og selvom der endnu ikke er registreret aktiv udnyttelse, er de alvorlige nok til at fortjene øjeblikkelig opmærksomhed fra alle, der driver FMC i deres miljø. Årsagen til den høje score er, at de giver mulighed for root-adgang ved udnyttelse. EPSS-scoren er pt. 0, men det kan ændre sig, når/hvis der observeres udnyttelser.
Bleeping Computer har en omtale af sagen i dag.
Alle versioner af Cisco Secure Firewall Management Center (FMC) op til 7.7.12 er påvirket. Cisco anbefaler akut opdatering.
De to sårbarheder er følgende:
- EUVD‑2026‑9444 / CVE‑2026‑20131. Her er der tale om en klassisk sag med usikker deserialisering. En angriber kan sende et specialdesignet Java‑objekt til FMC’s webbaserede administrationsinterface og opnå vilkårlig kodeeksekvering som root. Hvis administrationsinterfacet ikke er eksponeret mod internettet, reduceres risikoen væsentligt.
- EUVD‑2026‑9438 / CVE‑2026‑20079. Denne sårbarhed er et resultat af en fejl i en systemproces, der starter ved boot. Med en serie specialformede HTTP‑anmodninger kan en uautenticeret angriber omgå autentificering og eksekvere scripts med root‑rettigheder.
Der er ingen rapporter om aktiv udnyttelse på nuværende tidspunkt. Men givet populariteten af Cisco‑udstyr og angrebsvektoren (uautenticeret fjernudnyttelse), er det ikke usandsynligt, at det kommer til at ske.
Det anbefales at
- opdatere sårbare FMC‑installationer omgående - følg Ciscos anvisninger og installer de tilgængelige patches.
- tjekke om administrationsinterfacet er eksponeret - hvis det kan nås fra internettet, så overvej hurtigst muligt at ændre det.
- gennemgå logs for mistænkelig aktivitet - især ukendte HTTP‑anmodninger og uventet procesaktivitet.
- holde øje med nye IoC’er - selvom ingen er meldt ud endnu, forventes dette at ændre sig, hvis aktiv udnyttelse opdages.
Læs mere
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-onprem-fmc-authbypass-5JPp45V2
- https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-secure-fmc-flaws-giving-root-access/