Ciscoは、攻撃者が影響を受けたシステムの完全な制御を取得することを許可する可能性のあるSecure Firewall Management Center (FMC) ソフトウェアの重大な脆弱性を修正するための緊急セキュリティ更新を発行しました。
CVE-2026-20131として追跡されている欠陥は、最大CVSSスコア10.0を持ち、その深刻さと悪用の容易さを強調しています。
この問題はCWE-502(安全でない逆シリアル化)に分類され、Cisco Secure FMCのWebベースの管理インターフェイスに存在します。欠陥は、ユーザー提供のシリアル化されたJavaオブジェクトの不適切な処理から生じます。
認証されていないリモート攻撃者は、特別に作成されたJavaバイトストリームを公開された管理インターフェイスに送信することで、この弱点を悪用できます。
攻撃は認証またはユーザー操作を必要としないため、ネットワーク上で自動的に実行でき、リスクが大幅に増加します。
悪用されると、攻撃者はRoot レベルの権限で基盤となるオペレーティングシステム上で任意のコードを実行できます。
これにより、ネットワーク構成、ポリシー、トラフィックフローの可視化を含む、侵害されたファイアウォール管理システムに対する完全な制御が効果的に与えられます。
脆弱なバージョンを実行しているすべてのデバイスが影響を受け、この問題のスコープが特に広くなります。
ただし、Ciscoはそれ自体のSecure Firewall Adaptive Security Appliance (ASA) およびSecure Firewall Threat Defense (FTD) ソフトウェアがこの欠陥の影響を受けないことを確認しました。
セキュリティ研究者は、FMC管理インターフェイスを公開インターネットに公開すると、侵害のリスクが大幅に増加することを警告しています。
このようなシナリオでは、攻撃者は内部ネットワークアクセスを必要とせずにインターフェイスを直接ターゲットできます。
Keane O’Kelleyは、内部テスト中にCiscoの高度なセキュリティイニシアティブグループから脆弱性を発見しました。
責任ある開示にもかかわらず、攻撃者はすでに野生での悪用の試みを開始しています。
典型的な攻撃シナリオには、インターネットに公開されているFMCインターフェイスのスキャン、その後、root アクセスを取得するための悪意のあるシリアル化されたペイロードの配信が含まれる可能性があります。
そこから、攻撃者はファイアウォールルールを操作し、保護を無効にし、またはエンタープライズネットワークへさらに深く侵入する可能性があります。
Ciscoは、この脆弱性に利用可能な回避策や一時的な軽減策がないと述べています。その結果、パッチが唯一の効果的な防御です。
SaaSベースのCisco SCC Firewall Managementユーザーの場合、Ciscoのメンテナンス更新の一部として修正が既に自動的に適用されており、アクションは必要ありません。
ただし、オンプレミスのFMCデプロイメントを使用している組織は以下を実行する必要があります:
積極的なサービス契約を持たないお客様でも、Cisco Technical Assistance Center (TAC)に連絡することで必要な更新を取得できます。
組織は、FMC管理インターフェイスへのアクセスを制限し、パブリックインターネットに公開しないことを強くお勧めします。
管理システムを分離されたネットワークに配置し、厳密なアクセス制御を適用すると、攻撃の露出を減らすことができます。
アクティブな悪用とこの欠陥の重大な性質を考えると、パッチの遅延は完全なネットワーク侵害につながる可能性があります。エンタープライズ環境を保護するための即座の対応が不可欠です。
翻訳元: https://cyberpress.org/cisco-secure-firewall-flaw/