Aug 15, 2025

Cisco FMC kritična ranjivost (CVE-2025-20265) omogućuje udaljeno izvršavanje kôda

Cisco Secure Firewall Management Center (FMC) softver sadrži kritičnu ranjivost (CVE-2025-20265, CVSS 10.0)

Sažetak

Cisco je objavio sigurnosna ažuriranja kojima se otklanja kritična ranjivost u Secure Firewall Management Center (FMC) softveru. Ranjivost, označena kao CVE-2025-20265 s maksimalnim CVSS rezultatom 10.0, omogućuje udaljenom i neautenticiranom napadaču izvršavanje proizvoljnih naredbi na pogođenim sustavima.

‍
Propust proizlazi iz nepravilnog rukovanja korisničkim unosom u RADIUS podsustavu, što može dovesti do injekcije shell naredbi tijekom autentikacije. Eksploatacija ranjivosti napadaču omogućuje izvršavanje naredbi na visokoj razini privilegija.

Pogođene su verzije Cisco Secure FMC 7.0.7 i 7.7.0 u kojima je omogućen RADIUS za web-based ili SSH autentikaciju. Cisco navodi da ne postoje zaobilazna rješenja, osim implementacije zakrpi.

Detalji

Pogođeni proizvodi:

Cisco Secure Firewall Management Center (FMC) Software 7.0.7 i 7.7.0 (s RADIUS autentikacijom)

Ranjivosti:

CVE-2025-20265 (CVSS 10.0) – Kritična ranjivost RADIUS podsustava u FMC-u, omogućuje udaljenu injekciju shell naredbi i izvršavanje proizvoljnog kôda.
CVE-2025-20217 (CVSS 8.6) – Snort 3 DoS ranjivost u Cisco Secure Firewall Threat Defense.
CVE-2025-20222 (CVSS 8.6) – DoS ranjivost u IPv6 over IPsec implementaciji na Firepower 2100 seriji.
CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (CVSS 8.6) – IKEv2 DoS ranjivosti u IOS, IOS XE, ASA i Secure Firewall Threat Defense softveru.
CVE-2025-20133, CVE-2025-20243 (CVSS 8.6) – DoS ranjivosti u SSL VPN komponentama ASA i Threat Defense softvera.
CVE-2025-20134 (CVSS 8.6) – SSL/TLS Certificate DoS ranjivost u ASA i Threat Defense softveru.
CVE-2025-20136 (CVSS 8.6) – NAT DNS Inspection DoS ranjivost u ASA i Threat Defense softveru.
CVE-2025-20263 (CVSS 8.6) – Web Services DoS ranjivost u ASA i Threat Defense softveru.
CVE-2025-20148 (CVSS 8.5) – HTML Injection ranjivost u Secure FMC softveru.
CVE-2025-20251 (CVSS 8.5) – VPN Web Server DoS ranjivost u ASA i Threat Defense softveru.
CVE-2025-20127 (CVSS 7.7) – TLS 1.3 Cipher DoS ranjivost u Firepower 3100 i 4200 seriji.
CVE-2025-20244 (CVSS 7.7) – Remote Access VPN Web Server DoS ranjivost u ASA i Threat Defense softveru.

Tehnički detalji

Glavna ranjivost CVE-2025-20265 nastaje zbog nedostatka provjere korisničkog unosa u RADIUS autentikacijskom podsustavu. Tijekom autentikacije putem web sučelja ili SSH-a, posebno oblikovan unos može sadržavati zlonamjerne naredbe koje se izvršavaju na uređaju s privilegijama administratorske razine.
Eksploatacija ne zahtijeva autentikaciju, što čini propust posebno opasnim jer omogućuje udaljeni napad i potpunu kompromitaciju sustava.

Druge zakrpe rješavaju niz DoS ranjivosti koje napadaču mogu omogućiti prekid rada servisa (Denial-of-Service) kroz različite komponente poput Snort 3, IKEv2, SSL/TLS, NAT DNS Inspection, kao i VPN web servera. Također, FMC softver sadrži ranjivost HTML injekcije koja može biti iskorištena za manipulaciju sadržajem korisničkog sučelja.

Utjecaj

Uspješna eksploatacija CVE-2025-20265 može dovesti do:

udaljenog izvršavanja kôda,
eskalacije privilegija,
potpune kompromitacije Cisco Secure FMC okruženja.

Ostale ranjivosti (pretežito DoS tipa) mogu uzrokovati nedostupnost ključnih sigurnosnih funkcija, prekid VPN veza, pad inspekcijskih servisa i degradaciju zaštitnih mehanizama mreže.

Preporuke

Odmah implementirati službene Cisco sigurnosne zakrpe za sve pogođene verzije Secure FMC i druge Cisco sigurnosne proizvode.
Onemogućiti ili ograničiti RADIUS autentikaciju u FMC-u dok se ne primijeni zakrpa.
Aktivno pratiti logove i mrežni promet radi otkrivanja neuobičajenih pokušaja autentikacije i DoS napada.
Provoditi segmentaciju i strogu kontrolu pristupa na FMC sustave te primijeniti principe least privilege.
Redovito pratiti Cisco advisories i sigurnosne biltene radi pravovremenog reagiranja na nove prijetnje.