Компания Cisco предоставила командам по безопасности одну из самых масштабных задач по установке исправлений, затрагивающую ее продукты для межсетевых экранов, включая устранение двух уязвимостей с оценкой «идеальная десятка» в программном обеспечении Secure Firewall Management Center (FMC).
В целом, релиз от 4 марта, первое из двух полугодовых обновлений для межсетевых экранов в 2026 году, устраняет 25 рекомендаций по безопасности, охватывающих 48 отдельных CVE.
Наибольшую озабоченность вызывают уязвимости в FMC, CVE-2026-20079 и CVE-2026-20131. Первая из них представляет собой слабость, позволяющую обойти аутентификацию, а вторая связана с небезопасной десериализацией. Обе оценены как «критические» с максимальным баллом CVSS — 10.
Эти уязвимости относятся к веб-интерфейсу управления платформой и предоставляют доступ к учетной записи root без аутентификации. Это сделает их крупными целями для злоумышленников, использующих инструменты обратной разработки для выявления принципов работы лежащих в основе недостатков.
Пока этого не произошло — не поступало сообщений об эксплуатации, — но нет сомнений, что злоумышленники быстро воспользуются ими, если смогут.
Cisco заявила о CVE-2026-20079: «Злоумышленник может использовать эту уязвимость, отправляя специально сформированные HTTP-запросы на затронутое устройство. Успешная эксплуатация может позволить злоумышленнику выполнить различные скрипты и команды, предоставляющие доступ root к устройству».
А CVE-2026-20131 описывается так: «Злоумышленник может использовать эту уязвимость, отправив специально сформированный сериализованный объект Java в веб-интерфейс управления затронутого устройства. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на устройстве и повысить привилегии до root».
Cisco сообщила, что для обеих этих уязвимостей нет обходных решений. Однако для CVE-2026-20131 было отмечено: «Если интерфейс управления FMC не имеет доступа к публичному интернету, поверхность атаки, связанная с этой уязвимостью, уменьшается».
Короче говоря, если администраторы не могут установить исправление немедленно, им следует убедиться, что FMC не подвергается воздействию до тех пор, пока это не будет сделано.
Другие уязвимости
Из оставшихся недостатков еще шесть оценены как «высокие», с баллами CVSS от 7,2 до 8,6. К ним относятся уязвимости SQL-инъекции в Firewall Management Center CVE-2026-20001, CVE-2026-20002 и CVE-2026-20003, все могут быть использованы удаленно аутентифицированным злоумышленником. Опять же, обходные решения невозможны.
CVE-2026-20039, оцененная в 8,6 («критическая»), — это недостаток, затрагивающий VPN-веб-сервер в программном обеспечении Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD), который может позволить неаутентифицированному злоумышленнику вызвать состояние отказа в обслуживании (denial of service).
Кроме того, CVE-2026-20082, также оцененная в 8,6, может позволить неаутентифицированному злоумышленнику вызвать некорректное отбрасывание входящих TCP SYN-пакетов в программном обеспечении Cisco Secure Firewall Adaptive Security Appliance (ASA).
Процедура установки исправлений для недостатков, устраняемых в мартовском обновлении, варьируется в зависимости от установленной версии программного обеспечения. Cisco рекомендует использовать свою проверку программного обеспечения для определения подходящего обновления. В качестве альтернативы администраторы могут обратиться к таблицам в Руководстве по совместимости Cisco Secure Firewall Threat Defense.
Дежавю
Критические уязвимости и уязвимости нулевого дня стали регулярным явлением в циклах установки исправлений Cisco за последние пару лет, теперь их почти рассматривают как «события нулевого дня» сами по себе.
Команды по безопасности вспомнят экстренные исправления, выпущенные в сентябре прошлого года, которые устраняли аналогичные уязвимости веб-сервисов, затрагивающие программное обеспечение Cisco Secure Firewall Adaptive Security Appliance (ASA) VPN и Cisco Secure Firewall Threat Defense (FTD).
Из них CVE-2025-20333 и CVE-2025-20362 подвергались эксплуатации нулевого дня, в то время как третья, CVE-2025-20363, считалась находящейся под неминуемой угрозой. Атаки были достаточно серьезными, чтобы Cisco опубликовала бюллетень «реагирования на инцидент», предоставляющий более подробную информацию о зарегистрированных эксплойтах и индикаторах компрометации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
