Очередной разбор атаки: критическая RCE в Cisco FMC
Cisco Secure Firewall Management Center — это по сути центр управления для Cisco Secure Firewall: через него админят устройства, политики, события и защитные механизмы.
И именно такие системы всегда особенно опасно видеть в роли точки компрометации, потому что это уже не “один сервис”, а узел управления безопасностью.
━━━━━━━━━━ Что произошло ━━━━━━━━━━
Речь про CVE-2026-20131 — критическую уязвимость в web-интерфейсе Cisco Secure Firewall Management Center.
Cisco оценила её в CVSS 10.0.
Уязвимость позволяет неаутентифицированному удалённому атакующему выполнить произвольный Java-код от имени root на целевом устройстве.
━━━━━━━━━━ В чём суть атаки ━━━━━━━━━━
Причина — insecure deserialization пользовательского Java byte stream.
Если проще: атакующий отправляет специально подготовленный сериализованный объект в web-based management interface, после чего добивается выполнения кода на системе. И здесь особенно неприятно то, что никаких учётных данных для старта атаки не требуется.
━━━━━━━━━━ Что было дальше ━━━━━━━━━━
Cisco отдельно указала, что в марте 2026 года PSIRT уже стало известно о попытках эксплуатации этой уязвимости
То есть это не история из разряда “теоретически возможно”, а кейс, где вендор уже видел реальную атакующую активность.
При этом обходных путей нет — Cisco прямо пишет, что защищаться нужно обновлением.
━━━━━━━━━━ Кто должен проверить себя ━━━━━━━━━━
Проверяться в первую очередь стоит тем, у кого используется Cisco Secure FMC Software в on-prem или virtual-формате.
Если у вас management interface FMC был доступен из интернета или из слишком широкой управляющей сети — риск выше. Cisco отдельно отмечает: если интерфейс управления не доступен публично, поверхность атаки снижается. Но именно снижается, а не исчезает полностью.
Важно и другое: ➣ Cisco Security Cloud Control (SCC) Firewall Management тоже затрагивался этой проблемой, но для SaaS-части Cisco уже развернула исправление сама, и со стороны клиента действий не требуется. ➣ А вот ASA и FTD сами по себе под CVE-2026-20131 не попадают, если речь именно про этот advisory.
━━━━━━━━━━ Что делать ━━━━━━━━━━
➣ проверить, используется ли у вас Cisco Secure FMC ➣ проверить опубликован ли management interface наружу ➣ срочно сверить релиз через Cisco Software Checker ➣ обновиться на фиксированную версию ➣ считать внешнюю доступность FMC критичным архитектурным риском, даже если “раньше так было удобно” ()
