Cisco Secure Firewall ASA, FMC eta FTD produktuetako akats kritikoen berri eman du

Argitalpen-data: 

Laburpen exekutiboa

Cisco‑k larritasun handiko eta kritiko diren ahultasun multzo zabala jakinarazi du, Secure Firewall ASA, FMC eta FTD produktuetan eragiten dutenak. Ahultasun horien artean daude autentifikazioa saihesteko akatsak, root pribilegioekin kodea urrunetik exekutatzea, SQL injekzioak eta zerbitzu‑ukapeneko (DoS) hainbat arazo, SSL VPN, IKEv2, IPsec eta web zerbitzariekin lotuak. Ahultasun horiek (haietako batzuk CVSS 10.0 dutenak) urruneko eta autentifikatu gabeko erasotzaileei aukera ematen diete FMC gailuak erabat arriskuan jartzeko edo ASA/FTD gailuak berrabiarazi eta erorarazteko pakete manipulatuekin, memoriaren agorpenarekin edo TCP konexioen kudeaketan egindako akatsekin. Behin‑behineko konponbiderik ez dagoen arren, Cisco‑k eguneraketak argitaratu ditu arazo guztiak zuzentzen dituztenak, eta gomendatzen du IKEv2, SSL VPN, GCM zifratzea eta multi‑testuinguru moduak bezalako konfigurazio sentikorrak berrikustea. Ez dago ustiapen aktiboaren ebidentziarik argitalpenaren unean, baina arrisku operatiboa esanguratsua da, eta gomendagarria da zuzenketak lehenbailehen aplikatzea.

Eragindako baliabideak

  • Cisco Secure Firewall Management Center (FMC) Software
  • Cisco Secure Firewall ASA Software (ahultasunaren bertsioa 9.20.4.14; zuzendutako bertsioa 9.20.4.19)
  • Cisco Secure Firewall Threat Defense (FTD) Software
  • Cisco Security Cloud Control (SCC) Firewall Management

Azterketa teknikoa

  • CVE-2026-20131: Cisco Secure Firewall Management Center (FMC) web oinarritutako kudeaketa-interfazeko ahultasun bat, erasotzaile ez-autentifikatu bati gailu eraginduan root moduan kode Java arbitrarioa exekutatzea ahalbidetzen dio. Honek sistema konprometitzen du. Ahultasun hau esplotatzeko, erasotzaileak kudeaketa-interfazera manipulatutako objektu Java serializatua bidali behar du, nahiz eta arriskua murriztu egiten den interfazea Interneten publikoan ez badago.
    • CWE-502
    • CVSS: 10.0 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20079: Cisco Secure Firewall Management Center (FMC) web interfazeko ahultasun bat, erasotzaile ez-autentifikatu bati autentifikazioa saihestea eta gailu eraginduan scriptak exekutatzea ahalbidetzen dio. Honek sistema eragilearen root sarbidea ematea ahalbidetu dezake, gailuaren segurtasuna konprometitzen du. Esplotazioa gailu ahul batean manipulatutako HTTP eskaerak bidaltzea eskatzen du.
    • CWE-288
    • CVSS: 10.0 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20101: Cisco Secure Firewall ASA Software eta Secure FTD Software-n SAML 2.0ko saio bakarreko (SSO) funtzioan ahultasun bat, erasotzaile ez-autentifikatu bati gailua ustekabean berrabiaraztea ahalbidetu diezaioke, zerbitzuen ukatze (DoS) baldintza sortuz. Ahultasun hau SAML mezuak prozesatzerakoan errore egiaztapen ez egonaren ondorio da. Erasotzaileak SAML mezu manipulatuak bidaliz esplotatu dezake.
    • CWE-330
    • CVSS: 8.6 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20039: Cisco Secure Firewall ASA eta FTD-ren VPN web zerbitzari batean ahultasun bat, erasotzaile ez-autentifikatu bati zerbitzuen ukatze (DoS) baldintza sor dezake. Impactua gailua berrabiaraztea izan daiteke, bere funtzionamendua etenda. Ahultasun hau esplotatzeko, erasotzaileak gailu eragindura manipulatutako HTTP eskaera ugari bidali behar ditu.
    • CWE-244
    • CVSS: 8.6 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20103: Cisco Secure Firewall ASA eta FTD-n Remote Access SSL VPN funtzionalitatean ahultasun bat, erasotzaile ez-autentifikatu bati gailuaren memoria agortzea ahalbidetu diezaioke, VPN konexio berrientzako zerbitzuen ukatze (DoS) baldintza sortuz. Ahultasun hau erabiltzailearen sarrera egiaztatzeko falta dela eta, erasotzaileak manipulatutako paketeak VPN zerbitzariari bidaliz esplotatu dezake, gailuaren web interfazea erantzuteari utz dezakeelarik.
    • CWE-770
    • CVSS: 8.6 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20082: Cisco Secure Firewall ASA-n konexioen muga kudeatzeko ahultasun bat, erasotzaile ez-autentifikatu bati TCP SYN sarrera paketeak okerki baztertzea ahalbidetu diezaioke. Honek zerbitzuen ukatze (DoS) eragin dezake, sarrera TCP konexio guztiak oztopatuz, kudeaketa urruneko sarbidea eta VPN konexioak eragotziz. Ahultasun hau esplotatzeko, erasotzaileak gailu eragindura trafiko fluxu bat bidali behar du.
    • CWE-772
    • CVSS: 8.6 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20002: Cisco Secure FMC Software-ren web kudeaketa-interfazean ahultasun bat, erasotzaile ez-autentifikatu bati SQL injezio erasoak egiteko aukera ematen dio. Impactu potentzialak datu-base osoa eskuratzeko eta azpiko sistema eragilean fitxategiak irakurtzeko aukera barne hartzen du. Ahultasun hau esplotatzeko, erasotzaileak erabiltzaile kredentzial baliotsuak izan behar ditu.
    • CWE-89
    • CVSS: 8.1 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20100: Cisco Secure Firewall ASA eta FTD-ren Remote Access SSL VPN funtzionalitatean ahultasun bat, erasotzaile ez-autentifikatu bati gailuaren ustekabean berrabiaraztea ahalbidetu diezaioke, zerbitzuen ukatze (DoS) baldintza sortuz. Ahultasun hau erabiltzailearen sarrera egiaztatzeko falta dela eta, erasotzaileak manipulatutako HTTP paketeak VPN zerbitzariari bidaliz esplotatu dezake.
    • CWE-120
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20049: Cisco Secure Firewall ASA eta FTD-ren Galois/Counter Mode (GCM) bidezko IPsec IKEv2 trafikoaren prozesamenduan ahultasun bat, erasotzaile ez-autentifikatu bati gailu eraginduan zerbitzuen ukatze (DoS) eragitea ahalbidetu diezaioke. Impactu potentziala gailuaren ustekabean berrabiaraztea da. Ahultasun hau esplotatzeko, erasotzaileak gailu eragindura VPN konexioa ezartzeko kredentzial baliotsuak izan behar ditu.
    • CWE-131
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20105: Cisco Secure Firewall ASA eta FTD-ren Remote Access SSL VPN funtzionalitatean ahultasun bat, erasotzaile ez-autentifikatu bati VPN konexio baliotsu batekin gailuaren memoria agortzea ahalbidetu diezaioke, zerbitzuen ukatze (DoS) baldintza sortuz. Impactua gailua berrabiaraztea izan daiteke. Esplotazioa erasotzaileak manipulatutako paketeak VPN zerbitzariari bidaliz eskatzen du.
    • CWE-401
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20014: Cisco Secure Firewall ASA eta Cisco Secure FTD softwarean IKEv2 funtzionalitatean ahultasun bat, erasotzaile ez-autentifikatu bati gailu eraginduan zerbitzuen ukatze (DoS) baldintza sor dezake. Honek sareko beste gailu batzuetako zerbitzuen erabilgarritasuna eragin dezake. Ahultasun hau esplotatzeko, erasotzaileak gailu eragindura IKEv2 pakete manipulatuak bidali behar ditu. Esplotazio arrakastatsu batek memoria agortzea ekar dezake, gailua berrabiaraztea behartuz.
    • CWE-401
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20062: Cisco Secure Firewall Adaptive Security Appliance (ASA) softwarean eta modu anitzeko testuinguruan, administrazio-pribilejioak dituen erasotzaile lokal batek testuinguru artean fitxategiak kopiatzeko aukera ematen duen ahultasun bat. Honek konfigurazio fitxategi sentikorren arriskua handitzen du. Ahultasun hau esplotatzeko, erasotzaileak testuinguru administratibo ez batean kredentzial baliotsuak izan behar ditu eta fitxategiaren bidea zehatz-mehatz ezagutu behar du, esplotazioa zailtuz.
    • CWE-279
    • CVSS: 7.2 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20001: Cisco Secure FMC softwarearen REST APIan ahultasun bat, erasotzaile ez-autentifikatu bati SQL injezio erasoak egiteko aukera ematen dio. Honek erasotzaileari datu-basean irakurtzeko sarbidea eta azpiko sistema eragilean zenbait fitxategi irakurtzeko aukera ematen dio. Ahultasun hau esplotatzeko, erasotzaileak Administratzaile, Segurtasun Aprobatzaili, Intrusio Administratzaile edo Sarbide Administratzaile rolak dituzten erabiltzaile kredentzial baliotsuak izan behar ditu.
    • CWE-89
    • CVSS: 6.5 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20015: Cisco Secure Firewall ASA Software eta Cisco Secure FTD Software-n IKEv2 funtzionalitatean ahultasun bat, erasotzaile ez-autentifikatu bati gailu eraginduan zerbitzuen ukatze (DoS) baldintza sor dezake. Honek sareko beste gailu batzuetako zerbitzuen erabilgarritasuna eragin dezake. Ahultasun hau esplotatzeko, erasotzaileak gailu eragindura IKEv2 pakete manipulatuak bidali behar ditu. Esplotazio arrakastatsu batek baliabideak agortzea ekar dezake eta gailua manualki berrabiaraztea behartuko du.
    • CWE-401
    • CVSS: 5.8 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20013: Cisco Secure Firewall ASA eta Cisco Secure FTD softwarean IKEv2 funtzionalitatean ahultasun bat, erasotzaile ez-autentifikatu bati gailu eraginduan Zerbitzuen Ukatze (DoS) baldintza sor dezake. Honek sareko beste gailu batzuetako zerbitzuen erabilgarritasuna eragin dezake. Ahultasun hau esplotatzeko, erasotzaileak gailu eragindura IKEv2 pakete bereziki diseinatutakoak bidali behar ditu, baliabideak agortuz eta gailua manualki berrabiaraztea behartuz.
    • CWE-401
    • CVSS: 5.8 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20106: Cisco Secure Firewall Adaptive Security Appliance (ASA) Software eta Secure Firewall Threat Defense (FTD) Software-n ahultasun bat, erasotzaile ez-autentifikatu bati gailuaren memoria agortzea ahalbidetu diezaioke, zerbitzuen ukatze (DoS) baldintza sor dezake. Honek manualki berrabiaraztea eskatzen du. Ahultasun hau erabiltzailearen sarrera egiaztatzeko falta dela eta, erasotzaileak manipulatutako paketeak Remote Access SSL VPN zerbitzariari bidaliz esplotatu dezake.
    • CWE-401
    • CVSS: 5.3 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20003: Cisco Secure FMC softwarearen REST APIan ahultasun bat, erasotzaile ez-autentifikatu bati SQL injezio erasoak egiteko aukera ematen dio. Honek erasotzaileari datu-basean irakurtzeko sarbidea eta azpiko sistema eragilean zenbait fitxategi irakurtzeko aukera ematen dio. Ahultasun hau esplotatzeko, erasotzaileak Administratzaile, Segurtasun Aprobatzaili, Intrusio Administratzaile, Sarbide Administratzaile edo Sare Administratzaile rolak dituzten erabiltzaile kredentzial baliotsuak izan behar ditu.
    • CWE-89
    • CVSS: 4.9 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

Cisco-k gomendatzen du bezeroek ahultasunak arintzeko, aholkularitzan adierazitako zuzendutako software bertsiora eguneratzea. Ez da irtenbide temporalik eskuragarri ahultasun hauetarako. Bezeroek softwarean ahultasunak dituzten aholkularitzak identifikatzeko aukera ematen duen Cisco Software Checker tresna eskaintzen du, zeinaren bidez aholkularitzan deskribatutako ahultasunak zuzendatzen dituen lehen bertsioa identifika daitekeen ("Lehen Zuzendua"). Bezeroek aholkularitzan zehaztutako moduan tresna erabiltzeko argibideak jarraitu behar dituzte.

Erreferentzia gehigarriak

Partekatu