В сфере корпоративной кибербезопасности обнаружена новая серьёзная угроза, способная поставить под удар целые сети. Компания Cisco официально подтвердила наличие критической уязвимости в своём программном обеспечении Secure Firewall Management Centre (FMC), которое используется для централизованного управления сетевыми экранами. Уязвимость, получившая идентификатор CVE-2026-20131, оценена по шкале CVSS на максимальные 10.0 баллов. Она позволяет неаутентифицированному злоумышленнику, действующему удалённо, выполнять произвольный код с высочайшими привилегиями root, что фактически означает полный захват контроля над системой управления. Это событие имеет первостепенную важность для тысяч организаций по всему миру, чья инфраструктура безопасности построена на решениях Cisco.
Детали уязвимости
Проблема была выявлена в ходе внутреннего тестирования безопасности специалистом Cisco Кином О’Келли из группы Advanced Security Initiatives Group (ASIG). Суть уязвимости кроется в фундаментальной ошибке процесса десериализации в веб-интерфейсе управления. Если объяснять простым языком, десериализация - это восстановление структуры данных из последовательности байтов, полученной, например, из сети. В данном случае система FMC некорректно обрабатывает входящие потоки Java-байткода, слепо доверяя внешним данным без должной проверки их целостности и легитимности. Эта слабость, классифицируемая как CWE-502 (небезопасная десериализация), создаёт идеальные условия для атаки.
Эксплуатация уязвимости выглядит технически прямолинейно для подготовленного злоумышленника. Атакующий может отправить на целевой веб-интерфейс FMC специально сформированный сериализованный Java-объект. Когда система попытается его обработать, вредоносная полезная нагрузка будет исполнена, что позволит обойти все механизмы аутентификации. В результате злоумышленник получает возможность выполнять произвольные команды в системе с правами суперпользователя. Это открывает путь не только к краже конфиденциальных данных, но и к изменению правил фильтрации, установке бэкдоров, шифрованию данных программами-вымогателями или использованию скомпрометированного устройства в качестве плацдарма для атак на другие сегменты корпоративной сети. Угроза затрагивает как локальные развёртывания Cisco Secure FMC Software, так и облачный сервис Cisco Security Cloud Control (SCC) для управления межсетевыми экранами, независимо от их текущей конфигурации.
Важно отметить, что, по данным Cisco Product Security Incident Response Team, на текущий момент не зафиксировано случаев активной эксплуатации этой уязвимости в дикой среде. Однако максимальный балл CVSS и отсутствие временных обходных путей делают её крайне привлекательной для APT-групп и хакеров. Особый риск несут системы, чей веб-интерфейс управления вынесен в публичный интернет, что значительно расширяет поверхность атаки. Администраторы, ограничивающие доступ к интерфейсу доверенными внутренними сетями, снижают вероятность массового сканирования и атак извне, однако угроза со стороны инсайдера или уже проникшего в периметр злоумышленника остаётся актуальной. Между тем, для клиентов облачного сервиса SCC ситуация менее тревожна: будучи предложением типа SaaS (программное обеспечение как услуга), платформа получает все необходимые исправления автоматически, без действий со стороны пользователя. Кроме того, Cisco подтвердила, что данная уязвимость не затрагивает другое популярное семейство продуктов: Secure Firewall Adaptive Security Appliance (ASA) Software и Secure Firewall Threat Defense (FTD) Software.
В свете отсутствия каких-либо временных мер по устранению риска единственным эффективным способом защиты является немедленная установка официального патча. Cisco устранила эту критическую уязвимость в рамках ежемесячного сводного бюллетеня по безопасности программного обеспечения Secure Firewall за март 2026 года. Командам сетевой безопасности настоятельно рекомендуется использовать официальный инструмент Cisco Software Checker для определения актуального состояния своих систем и оптимального пути обновления. Установка рекомендованных исправленных версий программного обеспечения - это не просто рекомендация, а насущная необходимость. Промедление с обновлением создаёт окно уязвимости, которым рано или поздно могут воспользоваться угрозы. Помимо патчинга, в качестве общей рекомендации по усилению защиты следует пересмотреть политики доступа к интерфейсам управления критической инфраструктурой, изолировав их в отдельных сегментах сети с строгим контролем доступа. Данный инцидент в очередной раз подчёркивает важность регулярного обновления систем управления безопасностью, которые, будучи ключевым элементом защиты, сами могут стать объектом пристального внимания атакующих.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20131
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
