(https://www.bleepstatic.com/content/hl-images/2025/03/04/Cisco_headpic.jpg)
Cisco advierte sobre una vulnerabilidad crítica de ejecución remota de código (RCE) en el subsistema RADIUS de su software Secure Firewall Management Center (FMC).
Cisco FCM es una plataforma de gestión para los productos Secure Firewall del proveedor, que proporciona una interfaz web o basada en SSH centralizada que permite a los administradores configurar, supervisar y actualizar los firewalls de Cisco.
RADIUS en FMC es un método de autenticación externa opcional que permite la conexión a un servidor de servicio de autenticación remota telefónica de usuario en lugar de a cuentas locales.
Esta configuración se utiliza habitualmente en redes empresariales y gubernamentales, donde los administradores desean un control centralizado de inicio de sesión y la contabilidad del acceso a los dispositivos de red.
La vulnerabilidad, recientemente descubierta, se ha identificado como CVE-2025-20265 y recibió una puntuación de gravedad máxima de 10 sobre 10.
Puede explotarse para permitir que un atacante remoto no autenticado envíe una entrada especialmente diseñada al introducir las credenciales durante el paso de autenticación RADIUS.
De este modo, un adversario podría ejecutar comandos de shell arbitrarios con privilegios elevados.
"Una vulnerabilidad en la implementación del subsistema RADIUS del software Cisco Secure Firewall Management Center (FMC) podría permitir que un atacante remoto no autenticado inyecte comandos de shell arbitrarios que son ejecutados por el dispositivo", advierte Cisco en el boletín de seguridad.
"Esta vulnerabilidad se debe a una gestión inadecuada de la entrada del usuario durante la fase de autenticación", afirma el proveedor. CVE-2025-20265 afecta a las versiones 7.0.7 y 7.7.0 de FMC cuando la autenticación RADIUS está habilitada para la interfaz de administración web, la administración SSH o ambas.
Cisco ha publicado actualizaciones de software gratuitas que solucionan el problema. La solución se distribuyó a través de los canales habituales a los clientes con un contrato de servicio válido.
Si no se puede instalar el parche, la solución recomendada por Cisco es deshabilitar la autenticación RADIUS y reemplazarla con un método diferente (por ejemplo, cuentas de usuario locales, LDAP externo o inicio de sesión único SAML).
Cisco señala que esta mitigación funcionó en las pruebas, pero los clientes deben verificar su aplicabilidad y el impacto que tiene en sus entornos.
La vulnerabilidad fue descubierta internamente por el investigador de seguridad de Cisco, Brandon Sakai, y el proveedor desconoce si se está explotando activamente.
Además de CVE-2025-20265, Cisco también publicó correcciones para 13 fallas de alta gravedad en varios productos, ninguna de ellas marcada como explotada activamente:
CVE-2025-20217: Denegación de servicio de Snort 3 en Secure Firewall Threat Defense.
CVE-2025-20222: Denegación de servicio de IPv6 sobre IPsec en ASA y Secure FTD (Firepower 2100).
CVE-2025-20148: Inyección HTML en Secure Firewall Management Center.
CVE-2025-20244 – Denegación de servicio del servidor web VPN de acceso remoto ASA y Secure FTD.
CVE-2025-20133, CVE-2025-20243 – Denegación de servicio del servidor web VPN de acceso remoto SSL ASA y Secure FTD.
CVE-2025-20134 – Denegación de servicio del certificado SSL/TLS ASA y Secure FTD.
CVE-2025-20136 – Denegación de servicio de la inspección de DNS NAT ASA y Secure FTD.
CVE-2025-20251 – Denegación de servicio del servidor web VPN ASA y Secure FTD.
CVE-2025-20224, CVE-2025-20225 – Denegación de servicio de IKEv2 para iOS, iOS XE, ASA y Secure FTD. CVE-2025-20263 – Denegación de servicio de servicios web ASA y Secure FTD.
CVE-2025-20127 – Denegación de servicio del cifrado TLS 1.3 en ASA y Secure FTD (Firepower 3100/4200).
El proveedor afirma que no existen soluciones alternativas para ninguno de los problemas de seguridad mencionados, excepto para CVE-2025-20127, donde se recomienda eliminar el cifrado TLS 1.3.
Para todos los demás problemas, el proveedor recomienda instalar las últimas actualizaciones disponibles.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-flaw-in-firewall-management-center/