Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) внесло новую критическую уязвимость в программном обеспечении Cisco Secure Firewall Management Center (FMC) в свой каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Это означает, что специалисты агентства обнаружили доказательства использования данной уязвимости злоумышленниками в реальных атаках, что требует незамедлительных действий по обновлению или защите уязвимых систем. Уязвимость, получившая идентификатор CVE-2026-20131, затрагивает широкий спектр версий ключевого продукта для централизованного управления безопасностью и представляет собой критическую угрозу, оцененную в 10.0 баллов по шкале CVSS v3.1.
Детали уязвимости CVE-2026-20131
Суть проблемы заключается в опасной десериализации ненадёжных данных (CWE-502) в веб-интерфейсе управления FMC. Проще говоря, механизм, предназначенный для чтения и обработки сериализованных объектов Java (способа упаковки данных и кода), некорректно проверяет входящую информацию. В результате злоумышленник, не проходящий аутентификацию и действующий удалённо, может отправить на адрес веб-интерфейса специально сформированный вредоносный Java-объект. Успешная эксплуатация позволяет выполнить произвольный код на атакуемом устройстве с максимально возможными привилегиями пользователя root. Это эквивалентно получению полного и бесконтрольного доступа к системе, которая является мозговым центром для управления политиками межсетевых экранов Cisco в крупных организациях.
Важно отметить, что уязвимость также затрагивает решение Cisco Security Cloud Control (SCC) Firewall Management. Масштаб потенциального воздействия сложно переоценить, поскольку под угрозой оказывается не просто отдельный сервер, а инструмент, контролирующий всю периметровую защиту сети. Получив контроль над FMC, злоумышленники могут, например, отключить правила фильтрации трафика, перенаправить потоки данных через подконтрольные им узлы или скрытно внедрить вредоносное ПО в другие сегменты корпоративной инфраструктуры. Более того, учитывая критичность таких систем, они редко обновляются «на лету», что увеличивает окно для потенциальной атаки.
CISA присвоила данной уязвимости статус активно эксплуатируемой, что является официальным сигналом для всех федеральных ведомств США: они обязаны устранить угрозу в установленные кратчайшие сроки. Однако эта рекомендация в равной степени касается и коммерческих организаций по всему миру. Факт активной эксплуатации указывает на то, что эксплойты (инструменты для использования уязвимости) уже созданы и применяются в дикой природе, вероятно, как продвинутыми группами киберпреступников, так и возможно, государственными хакерами. Основным вектором атаки является обращение к веб-интерфейсу управления, что делает особенно уязвимыми системы, вынесенные в интернет для удалённого администрирования. Cisco отдельно отмечает, что если интерфейс управления FMC не имеет выхода в публичный интернет, область для потенциальной атаки сокращается, однако угроза со стороны внутренней сети или скомпрометированных узлов остаётся.
Затронутыми являются десятки версий программного обеспечения, начиная с ветки 6.4.0.13 и заканчивая 7.7.11, включая все основные выпуски линейки 7.x. Такой широкий охват говорит о фундаментальной ошибке в коде, которая присутствовала в продукте на протяжении длительного времени. Компания Cisco уже выпустила исправления, и первоочередной мерой для всех администраторов должно стать немедленное обновление до актуальных и безопасных версий. Если быстрое обновление по каким-либо причинам невозможно, необходимо принять компенсирующие меры контроля.
Эксперты в области информационной безопасности рекомендуют, в первую очередь, строго ограничить доступ к веб-интерфейсам управления FMC и SCC. Доступ должен быть разрешён только с доверенных IP-адресов через защищённые каналы связи, такие как VPN. Кроме того, крайне важно обеспечить сегментацию сети, изолировав систему управления межсетевыми экранами от других сегментов, особенно от пользовательских. Следует активировать и тщательно настроить систему предотвращения вторжений (IPS), если таковая имеется в инфраструктуре, добавив сигнатуры, направленные на обнаружение попыток эксплуатации десериализации. Мониторинг журналов (логов) FMC на предмет подозрительных действий, особенно попыток выполнения команд или неавторизованных обращений к интерфейсу, также может помочь в раннем выявлении инцидента.
В заключение, появление CVE-2026-20131 в каталоге KEV - это не просто техническое уведомление, а тревожный сигнал о прямой и актуальной угрозе для инфраструктурной безопасности. Уязвимость в продукте, который сам является краеугольным камнем защиты, создаёт уникальные риски, включая полный компромисс периметра сети. Организациям, использующим Cisco Secure Firewall Management Center или Cisco Security Cloud Control, необходимо отнестись к данной ситуации с максимальной серьёзностью и принять меры в приоритетном порядке, чтобы не допустить превращения своего основного инструмента защиты в точку входа для злоумышленников.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20131
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
- https://www.cisa.gov/news-events/alerts/2026/03/19/cisa-adds-one-known-exploited-vulnerability-catalog
