В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, представляющая значительный риск для корпоративных сетей по всему миру. Уязвимость, получившая идентификатор BDU:2026-02531 и соответствующая CVE-2026-20131, затрагивает ключевой продукт для управления безопасностью - Cisco Secure Firewall Management Center, ранее известный как Cisco Firepower Management Center. Проблема кроется в механизме десериализации данных веб-интерфейса управления. Соответственно, это позволяет удаленному злоумышленнику без аутентификации выполнить произвольный код с максимальными привилегиями root, просто отправив специально созданный HTTP-запрос.
Детали уязвимости
Уровень угрозы классифицирован как критический. Базовые оценки по методологии CVSS достигают максимального значения 10.0 как для версии 2.0, так и для 3.1. Такой высокий балл обусловлен сочетанием нескольких факторов: для атаки не требуется аутентификация или взаимодействие с пользователем, уязвимость эксплуатируется через сеть, а последствия затрагивают всю систему. Успешная эксплуатация дает злоумышленнику полный контроль над устройством управления межсетевыми экранами. В результате он может похитить конфиденциальные данные, нарушить работу сети или использовать скомпрометированную систему как плацдарм для атак на другие ресурсы организации.
Под угрозой находятся многочисленные версии программного обеспечения. Согласно данным BDU, уязвимость присутствует в обширном списке релизов, начиная с версии 6.4.0.13 и заканчивая 7.7.11, а также в самой свежей на момент публикации версии 10.0.0. По сути, проблема затрагивает все основные поддерживаемые ветки продукта за последние годы. Это указывает на фундаментальную ошибку в коде, которая оставалась незамеченной длительное время. Cisco Systems Inc. уже подтвердила наличие уязвимости и выпустила официальный бюллетень безопасности.
Техническая суть проблемы относится к классу CWE-502 - небезопасная десериализация. Этот тип уязвимости возникает, когда приложение без должной проверки восстанавливает объекты из ненадежных источников данных. Злоумышленник может сформировать вредоносный сериализованный объект, который при обработке сервером приводит к выполнению произвольного кода. В контексте Cisco Secure Firewall Management Center такой объект передается через веб-интерфейс, что делает атаку дистанционной.
Производитель оперативно отреагировал на обнаруженную проблему. Основным и самым эффективным способом устранения риска является немедленное обновление ПО до версий, в которых ошибка исправлена. Актуальная информация о патчах и затронутых сборках содержится в официальном бюллетене безопасности Cisco. Компания рекомендует администраторам срочно обратиться к этому ресурсу для планирования обновления. Важно отметить, что в текущих геополитических условиях при установке любых обновлений, особенно из внешних источников, необходимо проводить тщательную оценку сопутствующих рисков.
Существуют и временные компенсирующие меры для организаций, которые не могут мгновенно применить патч. Прежде всего, следует строго ограничить сетевой доступ к веб-интерфейсу Cisco Secure Firewall Management Center. Идеальным решением будет полная изоляция панели управления от интернета, оставив доступ только из доверенных внутренних сетей. Кроме того, можно реализовать схему доступа по «белому списку» IP-адресов. Полезным дополнением станет развертывание межсетевого экрана уровня веб-приложений (WAF), способного фильтровать подозрительные запросы, связанные с десериализацией.
Для мониторинга и обнаружения инцидентов эксперты советуют использовать SIEM-системы. Настройте правила корреляции, которые будут отслеживать подозрительную активность, связанную с выполнением процессов от имени пользователя root или с нестандартными сетевыми подключениями к интерфейсу управления. Хотя публичные эксплойты на момент публикации данного пресс-релиза еще не были широко задокументированы, появление работающего кода для такой критической уязвимости - лишь вопрос времени. Следовательно, группы APT и операторы программ-вымогателей (ransomware) почти наверняка попытаются использовать эту лазейку в своих целях.
Устранение подобной уязвимости - критически важная задача для служб информационной безопасности. Получение прав root на системе управления межсетевыми экранами эквивалентно получению ключей от всей корпоративной сети. Злоумышленник может изменить правила фильтрации трафика, отключить системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS), а также обеспечить себе постоянное присутствие (persistence) в системе. Таким образом, один успешный эксплойт может свести на нет работу всего центра управления безопасностью (SOC).
В заключение, уязвимость BDU:2026-02531 служит серьезным напоминанием о важности своевременного управления обновлениями даже для инфраструктурных компонентов безопасности. Администраторам необходимо срочно провести аудит своих систем на предмет использования уязвимых версий Cisco Secure Firewall Management Center. Далее следует незамедлительно применить официальные патчи или, как минимум, реализовать рекомендуемые компенсирующие меры. В современном ландшафте киберугроз промедление в таких вопросах может привести к катастрофическим последствиям для бизнеса.
Ссылки
- https://bdu.fstec.ru/vul/2026-02531
- https://www.cve.org/CVERecord?id=CVE-2026-20131
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
