Cisco je objavio više od 20 bezbjednosnih upozorenja u sklopu avgustovskog paketa za Secure Firewall Management Center (FMC), Secure Firewall Threat Defense (FTD) i Secure Firewall Adaptive Security Appliance (ASA) proizvode.
Najozbiljnija ranjivost — na osnovu ocjene težine — je CVE-2025-20265, kritična greška koja pogađa Secure FMC platformu namijenjenu za upravljanje i nadgledanje Cisco FTD uređaja i drugih bezbjednosnih rješenja.
Slabost utiče na Secure FMC instance koje imaju omogućenu Radius autentifikaciju. Ranjivost može da iskoristi udaljeni napadač bez autentifikacije za proizvoljno izvršavanje koda.
„Ova ranjivost je posljedica nedostatka pravilne obrade korisničkog unosa tokom faze autentifikacije,“ objasnio je Cisco. „Napadač bi mogao da iskoristi ovu ranjivost tako što bi poslao posebno kreiran unos prilikom upisivanja kredencijala koji će biti autentifikovani na podešenom RADIUS serveru. Uspješan napad mogao bi da omogući izvršavanje komandi sa visokim privilegijama.“
Cisco je takođe otklonio više od desetak ranjivosti visokog stepena ozbiljnosti u svojim FMC, FTD i ASA proizvodima.
Većinu njih udaljeni napadači bez autentifikacije mogu da iskoriste za DoS napade. Druge ranjivosti omogućavaju DoS napade, ali samo napadačima koji su već autentifikovani.
Jedna FMC ranjivost visokog stepena ozbiljnosti omogućava autentifikovanom, udaljenom napadaču da ubaci proizvoljan HTML sadržaj u dokument generisan od strane uređaja, čita proizvoljne fajlove iz operativnog sistema i sprovodi SSRF napade.
Cisco je u svojim bezbjednosnim proizvodima otklonio i jedanaest ranjivosti srednje težine.
Cisco je izdao zakrpe za ove ranjivosti, a korisnicima je stavljen na raspolaganje i softverski alat koji pomaže u identifikovanju pogođenih proizvoda i potrebnih ispravki.
Mrežni gigant je saopštio da nema dokaza da su ove ranjivosti iskorišćene u praksi. Dodatne informacije dostupne su u Cisco upozorenjima.
Korisnici Cisco proizvoda su nedavno obaviješteni da su hakeri počeli da ciljaju kritične ranjivosti u Identity Services Engine (ISE), manje od mjesec dana nakon što su zakrpe objavljene.
Izvor: SecurityWeek