Cisco и уязвимости

Cisco предупреждает о критической уязвимости FMC RADIUS (CVSS 10.0), позволяющей удалённое выполнение кода

Компания Cisco выпустила экстренные обновления безопасности для устранения уязвимости максимальной критичности (CVSS 10.0) в программном обеспечении Secure Firewall Management Center (FMC). Ошибка получила идентификатор CVE-2025-20265 и открывает злоумышленнику возможность выполнить произвольный код на уязвимых устройствах.

В чём суть проблемы

Уязвимость связана с некорректной обработкой пользовательского ввода на этапе аутентификации в подсистеме RADIUS. Если FMC настроен на работу с RADIUS-авторизацией (через веб-интерфейс управления или SSH), атакующий может отправить специально подготовленные данные в качестве учётных данных, в результате чего команда будет интерпретирована и выполнена на устройстве.

Cisco прямо указывает: успешная эксплуатация открывает доступ к выполнению команд с высокими привилегиями. Другими словами, речь идёт о полном захвате системы без необходимости авторизации.

Подверженные версии

• Cisco Secure FMC Software 7.0.7 и 7.7.0,

• только при включённой RADIUS-аутентификации.

Обойти проблему можно лишь установкой обновлений — workaround отсутствует. Ошибку выявил сотрудник Cisco Брэндон Сакаи в ходе внутреннего тестирования безопасности.

Другие уязвимости

Помимо CVE-2025-20265, Cisco закрыла целую серию серьёзных проблем (CVSS 8.5–8.6), которые могут привести к отказу в обслуживании (DoS) или HTML-инъекциям. Среди них:

• CVE-2025-20217 (CVSS 8.6) — уязвимость в Snort 3, позволяющая вызвать DoS;

• CVE-2025-20222 (CVSS 8.6) — уязвимость в IPv6 over IPsec для Firepower 2100;

• CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (CVSS 8.6) — DoS-атаки через IKEv2;

• CVE-2025-20133, CVE-2025-20243 (CVSS 8.6) — DoS уязвимости в SSL VPN;

• CVE-2025-20134 (CVSS 8.6) — уязвимость SSL/TLS-сертификатов;

• CVE-2025-20136 (CVSS 8.6) — проблема NAT DNS Inspection;

• CVE-2025-20263 (CVSS 8.6) — DoS уязвимость веб-сервисов ASA/FTD;

• CVE-2025-20148 (CVSS 8.5) — HTML-инъекция в FMC;

• CVE-2025-20251 (CVSS 8.5) — DoS уязвимость VPN Web Server;

• CVE-2025-20127 и CVE-2025-20244 (CVSS 7.7) — DoS через TLS 1.3 и Remote Access VPN.

Почему это критично

Хотя на данный момент данных об активной эксплуатации нет, история показывает: уязвимости в сетевых устройствах, особенно таких критичных как Cisco Secure Firewall, быстро попадают в арсенал злоумышленников. Уязвимость CVE-2025-20265 получила максимальную оценку 10.0, и это не просто «бумажная формальность» — удалённый, неавторизованный RCE всегда означает высокий риск полного компромета устройства и, как следствие, всей сети.

Рекомендации

• Немедленно обновить FMC до последней версии, опубликованной Cisco.

• Проверить, включена ли RADIUS-аутентификация — при её наличии риск критический.

• Усилить мониторинг аномальной активности и попыток аутентификации.

• Провести аудит сетевых устройств, так как злоумышленники всё чаще целятся именно в сетевую периферию, а не в конечные узлы.

Тезисно

Cisco устранила критическую дыру в FMC, но ответственность за безопасность остаётся на администраторах. Патчить придётся быстро, потому что эксплойты для CVSS 10.0 уязвимостей, как показывает практика, появляются в даркнете гораздо раньше, чем их внедряют в корпоративных сетях.

Берегите себя и свои нервы.