ウェブ管理インターフェイスの欠陥により、認証されていない攻撃者がリモートルートアクセスを取得
Ciscoは、同社のSecure Firewall Management Center(FMC)ソフトウェアの「完璧な10」脆弱性2つの修正を含む、ファイアウォール製品に影響する史上最大規模のパッチ作業をセキュリティチームに与えました。
全体的に、2026年の半年ごとのファイアウォール更新の最初である3月4日のリリースは、48個の個別CVEをカバーする25のセキュリティアドバイザリに対処しています。
最大の懸念はFMCの欠陥、CVE-2026-20079およびCVE-2026-20131です。前者は認証回避の弱点で、後者は不安全なデシリアライゼーションを含んでいます。両者ともCVSSスコアが最大10の「重大」に評価されています。
この弱点はプラットフォームのウェブ管理インターフェイスに関連し、認証されていないルートアクセスを与えます。これは基盤となる欠陥の仕組みを明らかにするためにリバースエンジニアリングツールを使用する攻撃者にとって大きな標的になります。
これはまだ発生していません。どちらも悪用中とは報告されていません。しかし、攻撃者ができればすぐにそれらに飛び掛かることに疑いはありません。
CiscoはCVE-2026-20079について次のように述べています:「攻撃者は、作成したHTTPリクエストを影響を受けたデバイスに送信することで、この脆弱性を悪用できます。成功した悪用により、攻撃者はデバイスへのルートアクセスを可能にするさまざまなスクリプトとコマンドを実行できます。」
そしてCVE-2026-20131は次のように説明されています:「攻撃者は、作成したシリアル化されたJavaオブジェクトを影響を受けたデバイスのウェブベースの管理インターフェイスに送信することで、この脆弱性を悪用できます。成功した悪用により、攻撃者はデバイス上で任意のコードを実行し、特権をルートに昇格できます。」
これらの脆弱性のどちらにも回避策はありませんとCiscoは述べています。ただし、CVE-2026-20131については、「FMC管理インターフェイスがパブリックインターネットアクセスを持たない場合、この脆弱性に関連する攻撃面が減少します」と述べています。
つまり、今すぐパッチを当てられない場合、管理者はそれが起こるまでFMCが公開されていないことを確認する必要があります。
その他の脆弱性
残りの欠陥のうち、さらに6つは「高い」と評価され、CVSSスコアは7.2から8.6の間です。これらには、Firewall Management Center SQLインジェクション脆弱性CVE-2026-20001、CVE-2026-20002、およびCVE-2026-20003が含まれ、すべて認証された攻撃者によってリモートで悪用できます。繰り返しますが、回避策はありません。
CVE-2026-20039は、8.6(「重大」)と評価され、Cisco Secure Firewall Adaptive Security Appliance(ASA)ソフトウェアとCisco Secure Firewall Threat Defense(FTD)ソフトウェアのVPNウェブサーバーに影響する欠陥で、認証されていない攻撃者がサービス拒否状態を引き起こす可能性があります。
さらに、CVE-2026-20082も8.6と評価されており、認証されていない攻撃者がCisco Secure Firewall Adaptive Security Appliance(ASA)ソフトウェアで受信TCP SYNパケットが不正に削除されるようにすることができます。
3月の更新で対処された欠陥にパッチを当てる手順は、インストールされているソフトウェアバージョンによって異なります。Ciscoは、適切な更新を決定するためにそのソフトウェアチェッカーを使用することをお勧めします。または、管理者はCisco Secure Firewall Threat Defense互換性ガイドの表を参照できます。
デジャヴ
重大評価の欠陥とゼロデイは、ここ数年のCiscoのパッチラウンドで常習的に発生するようになり、今ではそれら自体が「ゼロデイイベント」としてほぼ見られています。
セキュリティチームは、CiscoのSecure Firewall Adaptive Security Appliance(ASA)VPNおよびCisco Secure Firewall Threat Defense(FTD)ソフトウェアに影響する同様のウェブサービス欠陥に対処した先月9月の緊急パッチを思い出すでしょう。
