В сфере информационной безопасности события, связанные с критическими уязвимостями в ключевых элементах инфраструктуры, всегда приковывают особое внимание экспертов. На этот раз в центре внимания оказался продукт компании Cisco, а именно программное обеспечение Secure Firewall Management Centre (FMC, Центр управления защищенными межсетевыми экранами). Обнаруженная проблема, получившая идентификатор CVE-2026-20079, оценивается по шкале CVSS v3.1 в максимальные 10.0 баллов. Это означает, что удаленный злоумышленник, не имея учётных данных, может получить полный контроль (права суперпользователя root) над системой, которая управляет сетевым периметром организации. Для корпоративных сетей компрометация такого компонента равносильна передаче ключей от всей цифровой крепости в руки противника.
Детали уязвимости
Уязвимость была выявлена в ходе внутренних проверок безопасности исследователем Cisco Брэндоном Сакаи. Её корень кроется в ошибке, связанной с некорректной инициализацией системного процесса во время загрузки устройства. На практике это приводит к возможности обхода аутентификации в веб-интерфейсе FMC. Атакующему достаточно отправить на целевой интерфейс специально сформированный HTTP-запрос. В случае успешной эксплуатации злоумышленник полностью обходит проверку подлинности, получает возможность выполнять произвольные сценарии и, в конечном итоге, устанавливает полный контроль над операционной системой устройства.
Последствия подобного взлома трудно переоценить. Центр управления межсетевыми экранами - это мозговой центр сетевой безопасности. Получив к нему доступ уровня root, злоумышленники могут не только отключать правила фильтрации, перенаправлять или мониторить трафик, но и использовать скомпрометированную систему как плацдарм для дальнейшего продвижения вглубь корпоративной сети. Между тем, это открывает прямой путь для развертывания программ-вымогателей, хищения конфиденциальных данных или организации целенаправленных атак на критическую инфраструктуру.
Важно подчеркнуть, что уязвимость затрагивает исключительно локальные (on-premises) развертывания программного обеспечения Cisco Secure FMC, независимо от их конкретной конфигурации. При этом компания подтвердила, что облачная версия продукта (Cloud-Delivered FMC, cdFMC), а также программное обеспечение Secure Firewall ASA, Secure Firewall Threat Defense (FTD) и Security Cloud Control не подвержены данной проблеме. На момент публикации бюллетеня безопасности группа Cisco PSIRT (Подразделение реагирования на инциденты безопасности продуктов) не зафиксировала случаев активной эксплуатации уязвимости в реальных атаках. Однако, учитывая её критический характер и простоту эксплуатации, появление эксплойтов в открытом доступе - лишь вопрос времени.
Самым тревожным аспектом данной ситуации является полное отсутствие временных мер защиты. Cisco прямо указывает, что для устранения риска необходимо немедленное обновление программного обеспечения уязвимых систем до исправленных версий. Оставлять системы без патча - значит сознательно подвергать всю сетевую периметральную защиту чрезвычайно высокому риску. Для помощи администраторам компания предоставила специализированный инструмент Software Checker, куда можно ввести номер текущей версии ПО и получить информацию о ближайшей безопасной сборке, содержащей исправление.
Таким образом, данная уязвимость служит жёстким напоминанием о критической важности своевременного управления обновлениями для систем безопасности. Специалистам по кибербезопасности и сетевым администраторам, использующим локальные развертывания Cisco Secure FMC, необходимо в приоритетном порядке провести аудит своих активов и выполнить обновление в рамках ближайшего цикла патчинга. Промедление в данном случае создаёт прямую и немедленную угрозу целостности и конфиденциальности корпоративных данных. В свою очередь, инцидент также демонстрирует ценность проактивного тестирования безопасности, которое позволило выявить проблему до её экплуотации, то есть эксплуатации злоумышленниками.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20079
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-onprem-fmc-authbypass-5JPp45V2
