CVE-2026-20131

Cisco Secure Firewall Management Center (FMC)

ВЕРОЯТНОСТЬ 0.7%
Дата обнаружения

2026-03-19

Официальное описание

Cisco Secure Firewall Management Center (FMC) Software and Cisco Security Cloud Control (SCC) Firewall Management contain a deserialization of untrusted data vulnerability in the web-based management interface that could allow an unauthenticated, remote attacker to execute arbitrary Java code as root on an affected device.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2026-20131 представляет собой критическую уязвимость десериализации ненадежных данных в веб-интерфейсе управления Cisco Secure Firewall Management Center (FMC) и Cisco Security Cloud Control (SCC).

Проблема заключается в некорректной обработке входных объектов Java, передаваемых через HTTP-запросы. Неавторизованный удаленный злоумышленник может отправить специально сформированный сериализованный объект, что приведет к выполнению произвольного Java-кода в контексте суперпользователя (root). Это позволяет полностью скомпрометировать устройство, получить доступ к конфигурациям сенсоров и перехватить управление сетевым трафиком.

Как исправить

Основным способом устранения является обновление программного обеспечения FMC до фиксированного релиза. Cisco выпускает патчи для поддерживаемых веток ПО.

  1. Определите текущую версию ПО в интерфейсе FMC: Help > About.
  2. Скачайте соответствующий Software Update (с расширением .sh или .tar.gz) с портала Cisco Software Central.
  3. Загрузите обновление в FMC: System > Updates > Upload Update.
  4. Запустите установку (Install).

Рекомендуемые версии для перехода: * Если используется ветка 7.2.x: обновитесь до 7.2.10 или выше. * Если используется ветка 7.4.x: обновитесь до 7.4.2.1 или выше. * Если используется ветка 7.6.x: обновитесь до 7.6.1 или выше.

Для проверки целостности системы после обновления выполните проверку версии через CLI:

show version

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к вектору эксплуатации.

  1. Ограничение доступа (ACL): Настройте списки контроля доступа на вышестоящих межсетевых экранах, чтобы разрешить доступ к HTTPS (порт 443) интерфейса управления FMC только с доверенных IP-адресов администраторов.

  2. Изоляция интерфейса управления: Убедитесь, что интерфейс управления FMC находится в выделенном Management VLAN (Out-of-Band management), не имеющем прямого доступа из публичных сетей или общих сегментов корпоративной сети.

  3. Мониторинг логов: Настройте отправку системных логов на внешний Syslog/SIEM сервер и отслеживайте подозрительные ошибки десериализации в логах веб-сервера.

tail -f /var/log/httpd/error_log
  1. Использование IPS: Если перед FMC стоит другой сенсор Firepower, активируйте правила Snort для обнаружения попыток эксплуатации Java Deserialization (соответствующие сигнатуры выпускаются в рамках Talos Vulnerability Research Service).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей