Cisco ha lanzado una actualización de seguridad para abordar las fallas de seguridad más grandes en el software Secure Firewall Management Center (FMC), que permite a los atacantes ejecutar código arbitrario en los sistemas afectados.
Una vulnerabilidad asignada al identificador CVE CVE-2025-20265 (puntaje CVSS: 10.0) afecta la implementación del subsistema RADIUS que permite a los atacantes remotos no certificados inyectar cualquier comando de shell ejecutado por el dispositivo.
El comandante de equipos de redes dijo que el problema se debió a la falta de manejo adecuado de la entrada del usuario durante la fase de autenticación. Como resultado, un atacante puede enviar una entrada especialmente creada al ingresar credenciales que se autentican con el servidor RADIUS configurado.
«Una exploit exitosa permite que un atacante ejecute comandos a un alto nivel de privilegio», dijo la compañía en su recomendación el jueves. «Para explotar esta vulnerabilidad, el software Cisco Secure FMC debe configurarse para la autenticación de radio con una interfaz de administración basada en la web, administración de SSH o ambos».
La desventaja es que si el software Cisco Secure FMC tiene autenticación RADIUS habilitada, se libera 7.0.7 y 7.7.0. No hay otra solución que aplicar los parches proporcionados por la compañía. Se cree que Brandon Sakai de Cisco descubrió el problema durante las pruebas de seguridad interna.
Además de CVE-2025-20265, Cisco también ha resuelto muchos errores de alta gama-
CVE-2025-20217 (CVSS Score: 8.6) – Cisco Secure Firewall Threat Defense Software 3 Service Negative Vulnerability CVE-2025-20222 (CVSS Score: 8.6) – Cisco Secure Firwall Adaptive Security Appliances and Secure Firewall Threat Defense Software CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (Puntuación CVSS: 8.6) – Cisco IOS, iOS XE, Applenance de seguridad adaptativo Secure Firewall, software de defensa de amenaza de firewall seguro IKEV2 Vulnerabilidad negativa (puntaje CVSS: 8.6) – Cisco Secure Firewall Adplemation Security Appliance y Secure FireWall Defense Software Soft Software SEGN VPN Secure Secure Secure Secure Secure Secure Secure Secure Secure Secure Secure Aplicaciones de seguridad adaptativas de firewall y electrodomésticos de defensa de amenazas de amenazas de firewall y electrodomésticos seguros de defensa de amenaza de firewall y electrodomésticos de defensa de amenaza de amenaza de amenazas de firewall y electrodomésticos seguros de defensa de amenaza de amenaza de amenaza de amenaza de amenaza de amenaza de amenaza de defensa de amenaza de defensa de amenaza de amenaza de defensa de defensa de firewall de firewall de firewall. CVE-2025-20263 (puntaje CVSS: 8.6) CVE-2025-20148 (puntaje CVSS: 8.5)-Cisco Secure Firewall Management Software HTML Vulnerabilidad de inyección CVE-2025-20251 (CVSS SCARE: 8.5)-Aplicación de seguridad de seguridad de firewall de Cisco Secure Securewall Software Secure Securewall 7.7)-Software CVSCO SEGURO Software de defensa de amenazas de firewall segura para dispositivos para la potencia de fuego 3100 y 4200 Series TLS 1.3 Ciphen Vulnerabilidad negativa CVE-2025-20244 (puntaje CVSS: 7.7)
Los electrodomésticos de la red se atrapan repetidamente en la mira del atacante, por lo que no hay fallas bajo una explotación agresiva en la naturaleza, pero es esencial que los usuarios se muevan rápidamente para actualizar sus instancias a la última versión.
Source link
