هشدار cisco درباره آسیب‌پذیری بحرانی در Firewall Management Center

هشدار cisco درباره آسیب‌پذیری بحرانی RCE در زیرسیستم RADIUS نرم‌افزار Secure Firewall Management Center

شرکت Cisco نسبت به وجود یک آسیب‌پذیری بحرانی از نوع Remote Code Execution (RCE) در زیرسیستم RADIUS نرم‌افزار Secure Firewall Management Center (FMC) هشدار داد.

Cisco FMC یک پلتفرم مدیریتی برای محصولات Secure Firewall این شرکت است که از طریق یک رابط کاربری متمرکز تحت وب یا SSH امکان پیکربندی، پایش و به‌روزرسانی فایروال‌های cisco را برای مدیران فراهم می‌کند.

RADIUS در FMC یک روش احراز هویت خارجی اختیاری است که به مدیران اجازه می‌دهد به جای استفاده از حساب‌های محلی، به سرور Remote Authentication Dial-In User Service متصل شوند. این پیکربندی معمولاً در شبکه‌های سازمانی و دولتی جهت کنترل متمرکز ورود و ثبت حسابرسی دسترسی به تجهیزات شبکه استفاده می‌شود.

آسیب‌پذیری کشف‌شده با شناسه CVE-2025-20265 ثبت شده و امتیاز حداکثری ۱۰ از ۱۰ را دریافت کرده است. این نقص می‌تواند توسط یک مهاجم راه‌دور و غیرمعتبر با ارسال ورودی دستکاری‌شده هنگام مرحله احراز هویت RADIUS مورد سوءاستفاده قرار گیرد. در صورت موفقیت، مهاجم قادر خواهد بود دستورات دلخواه shell را با دسترسی سطح بالا اجرا کند.

cisco در بولتن امنیتی خود هشدار داده است:
«یک آسیب‌پذیری در پیاده‌سازی زیرسیستم RADIUS در نرم‌افزار Cisco Secure Firewall Management Center (FMC) می‌تواند به مهاجم راه‌دور و غیرمعتبر اجازه تزریق دستورات دلخواه shell را بدهد که توسط دستگاه اجرا می‌شوند.»

این شرکت افزود: «علت آسیب‌پذیری، نبود مکانیزم مناسب در پردازش ورودی کاربر در مرحله احراز هویت است.»
این نقص نسخه‌های FMC 7.0.7 و ۷٫۷٫۰ را در شرایطی که احراز هویت RADIUS برای رابط وب مدیریتی، مدیریت از طریق SSH یا هر دو فعال باشد، تحت تأثیر قرار می‌دهد.

cisco به‌روزرسانی‌های نرم‌افزاری رایگانی را برای رفع این مشکل منتشر کرده است. وصله‌ها از طریق کانال‌های معمول برای مشتریان دارای قرارداد خدمات معتبر ارائه شده‌اند.

در صورت عدم امکان نصب وصله، راهکار موقت پیشنهادی cisco غیرفعال‌سازی احراز هویت RADIUS و جایگزینی آن با روش‌های دیگر (مانند حساب‌های کاربری محلی، LDAP خارجی یا SAML single sign-on) است. cisco اعلام کرده این راهکار در آزمایش‌ها موفقیت‌آمیز بوده اما مشتریان باید پیش از اعمال، سازگاری آن با محیط خود را بررسی کنند.

این آسیب‌پذیری به‌صورت داخلی توسط پژوهشگر امنیتی cisco Brandon Sakai شناسایی شده و تاکنون گزارشی از سوءاستفاده فعال از آن در فضای واقعی منتشر نشده است.

علاوه بر CVE-2025-20265، cisco اصلاحیه‌هایی برای ۱۳ آسیب‌پذیری با شدت بالا در محصولات مختلف خود منتشر کرده که هیچ‌کدام مورد سوءاستفاده فعال قرار نگرفته‌اند. برخی از مهم‌ترین آن‌ها عبارت‌اند از:

• CVE-2025-20217 – آسیب‌پذیری DoS در Secure Firewall Threat Defense Snort 3
• CVE-2025-20222 – DoS در ASA و Secure FTD (Firepower 2100) در پروتکل IPv6 over IPsec
• CVE-2025-20148 – تزریق HTML در Secure Firewall Management Center
• CVE-2025-20244 – DoS در ASA & Secure FTD Remote Access VPN web server
• CVE-2025-20133, CVE-2025-20243 – DoS در ASA & Secure FTD Remote Access SSL VPN
• CVE-2025-20134 – DoS در ASA & Secure FTD SSL/TLS certificate
• CVE-2025-20136 – DoS در ASA & Secure FTD NAT DNS inspection
• CVE-2025-20251 – DoS در ASA & Secure FTD VPN web server
• CVE-2025-20224, CVE-2025-20225 – DoS در IOS, IOS XE, ASA & Secure FTD IKEv2
• CVE-2025-20263 – DoS در ASA & Secure FTD web services
• CVE-2025-20127 – DoS در ASA & Secure FTD (Firepower 3100/4200) TLS 1.3 cipher

cisco اعلام کرده برای هیچ‌یک از این آسیب‌پذیری‌ها راهکار موقتی وجود ندارد، به‌جز CVE-2025-20127 که راهکار پیشنهادی حذف TLS 1.3 cipher است.
برای سایر موارد، نصب سریع به‌روزرسانی‌های منتشرشده توصیه می‌شود.