Cisco, FMC’de kritik bir komut enjeksiyonu açığını (CVE-2025-20265) yamaladı. Bu açık; Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı 10,0 ve bu, güvenlik açığı puanlamasında mümkün olan en yüksek risk derecesi. Cisco Güvenlik Duvarı, bu tür tehditleri en aza indirmek için önemli bir araçtır. Bu açık, özellikle web tabanlı veya SSH yönetim arayüzünde RADIUS kimlik doğrulaması için yapılandırılmış FMC 7.0.7 ve 7.7.0 sürümlerini etkilemekte.
Cisco Güvenlik Duvarı Yönetim Merkezi için kritik açık
RADIUS, ağ kimlik doğrulaması için fiili standarttır. 802.1X erişim kontrol yönetimini etkinleştirmek için kullanılan en yaygın uygulamadır. Cisco Güvenlik Duvarı kullanıcıları, bu standardın önemini anlamalıdır. Başka bir deyişle, FMC kullanıyorsanız, RADIUS kullandığınız neredeyse kesindir, bu da savunmasız olduğunuz anlamına gelir.
Sorun şu ki, yazılım RADIUS kimlik doğrulama aşamasında kullanıcı girdisini temizlemediğinden, saldırganlar yüksek ayrıcalıklı kabuk komutları olarak yürütülecek hazırlanmış kimlik bilgileri gönderebilirler. Bu, doğru şekilde kötüye kullanılırsa, Cisco Güvenlik Duvarı yönetim merkezi üzerinde herkese tam kontrol sağlayabilir.
Saldırganlar bu açığı herhangi bir sistem erişimi veya geçerli kimlik bilgileri olmadan da kullanabilirler. Bu tam bir güvenlik kabusu diyebiliriz. Bir bilgisayar korsanı güvenlik duvarı yönetimi üzerinde tam kontrole sahip olduğunda, Cisco Güvenlik Duvarı da dahil olmak üzere hem güvenlik duvarına hem de ağınızın geri kalanına istediği her şeyi yapabilir. İyi haber ise Cisco Secure Firewall Adaptive Security Appliance (ASA) Yazılımı ve Cisco Secure Firewall Threat Defense (FTD) Yazılımının etkilenmemiş olması.
Bu arada, Cisco “Bu güvenlik açığını giderecek bir geçici çözüm yok.” diyor. Programı hemen yamalamalısınız. Cisco, şu ana kadar doğrulanmış aktif bir güvenlik açığı bulunmadığını bildiriyor. Biraz zaman tanıyın. Güvenlik raporundaki bilgiler, zeki bir bilgisayar korsanının bu güvenlik açığından nasıl yararlanacağını anlaması için fazlasıyla yeterli.
 kritik bir güvenlik açığı bildirdi. Bu açık en yüksek risk derecesine sahip.){kind=link}