思科近日发布紧急安全公告,披露其安全防火墙管理中心(Secure Firewall Management Center,FMC)软件中存在一个高危漏洞。该漏洞极为严重,未经身份验证的远程攻击者能够利用它,在目标系统上获得完整的 root 权限,进而执行任意代码。
漏洞详情
漏洞编号为 CVE-2026-20131,其根源在于不安全反序列化问题(归类为 CWE-502)。该漏洞获得了 CVSS 3.0 基础评分的最高分——10.0 分,足见其危险性。攻击者无需任何用户权限或身份验证即可远程发起攻击。
具体而言,该安全缺陷存在于思科安全 FMC 的基于 Web 的管理界面中。当用户(攻击者)提供特制的 Java 字节流时,系统对其进行了不安全的反序列化操作。这意味着攻击者只需向存在漏洞的 Web 管理接口发送一个精心构造的序列化 Java 对象,就能触发此漏洞。
一旦利用成功,攻击者注入的恶意代码便会在目标设备上执行,其执行权限将被提升至最高的 root 级别。这为攻击者完全控制这台关键的管理设备打开了大门。
潜在危害
获得核心安全管理系统的 root 权限意味着什么?危害是灾难性的。攻击者可以随心所欲地修改安全策略,例如更改或删除防火墙规则、禁用入侵防御等所有防御机制。更重要的是,这为攻击者建立了一个稳固的、持久的“桥头堡”,他们可以以此为跳板,对内网发动更深层次、更隐蔽的横向渗透攻击。
漏洞发现与利用情况
这个高危漏洞最初是由思科高级安全计划小组的内部研究员 Keane O'Kelley 在常规安全测试中发现的。事情在近期有了新的变化:思科更新了官方公告,确认其产品安全事件响应团队在 2026 年 3 月已经发现了该漏洞在野外被利用的尝试。这表明,该漏洞可能已经被某些攻击者盯上并开始测试利用,安全威胁从理论走向了实际。
风险提示与缓解措施
由于此漏洞无需用户交互且无需认证,任何将 FMC 管理界面暴露在互联网上的系统都面临极高的、即刻的风险。思科强烈建议管理员立即限制 FMC 管理界面对公共互联网的访问,这将能有效减少攻击面。但请注意,这只是一个临时性的防护手段,绝不能替代安装官方补丁。
该漏洞影响思科安全 FMC 软件和基于相同代码库的思科安全云控制(SCC)防火墙管理平台,与具体设备配置无关。思科已确认,其安全防火墙自适应安全设备(ASA)和安全防火墙威胁防御(FTD)软件系列不受此特定漏洞影响。
对于采用 SaaS 模式交付的 SCC 防火墙管理环境,思科表示已在常规维护周期内完成了修复部署,云客户无需采取额外措施。然而,对于本地部署的 FMC,目前没有任何有效的临时缓解措施,唯一正确的应对方式是立即应用思科发布的安全更新。
管理员应使用思科提供的软件检查工具,核实当前运行的软件版本,并对所有受影响的系统进行紧急升级。
参考来源:
Cisco Secure Firewall Vulnerability Allows Remote Code Execution as Root User
https://cybersecuritynews.com/critical-cisco-secure-firewall-vulnerability/
网络安全无小事,尤其是核心管理平台的漏洞,往往牵一发而动全身。希望广大管理员能及时跟进补丁,筑牢防线。更多技术讨论与安全资讯,欢迎前往云栈社区的相应板块交流。 | 
发表于 2 小时前
|
查看: 1|
回复: 0
