El equipo de respuesta a incidentes de Cisco (PSIRT) ha emitido un parche de emergencia extraordinario para abordar una vulnerabilidad de severidad crítica (CVSS 10.0) en su plataforma Cisco Secure Firewall Management Center (FMC). El fallo, catalogado como CVE-2026-20131, permite a un atacante remoto no autenticado ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente.
Descripción de la vulnerabilidad y detalles técnicos
La vulnerabilidad, descubierta por Keane O’Kelley durante un ejercicio de seguridad interno, reside en un fallo de diseño en el manejo de datos entrantes por la interfaz web de administración de Cisco Secure FMC. La aplicación falla al realizar una deserialización de objetos Java recibidos a través de la API web, sin validación previa.
La interfaz web de FMC está construida sobre un ecosistema Java. En su funcionamiento normal, la aplicación recibe objetos serializados (estructuras de datos convertidas a formato binario para viajar por la red) y los «reconstruye» (deserializa) en el servidor para utilizarlos. El error sucede cuando el FMC realiza este proceso de reconstrucción sin validar ni verificar previamente la integridad de dichos datos.
Un atacante remoto y no autenticado puede explotar esta debilidad enviando una petición HTTP web estándar que contenga un objeto Java malicioso serializado.
Al recibir el payload, el motor del FMC comienza a deserializar el objeto. Durante esta reconstrucción automática, el payload utiliza técnicas de Gadget Chains (aprovechando clases y librerías ya existentes y legítimas dentro de la aplicación de Cisco) para alterar el flujo de ejecución de la Máquina Virtual de Java (JVM).
Como resultado final, la aplicación termina ejecutando el código embebido por el atacante, y dado que la consola de administración requiere privilegios máximos para operar los firewalls, la ejecución se realiza con permisos de root a nivel del sistema operativo, otorgando al atacante control sobre el servidor.
Solución y medidas preventivas
Cisco ha lanzado parches de emergencia extraordinarios y urge a todos los administradores a aplicar las actualizaciones de software correspondientes de manera inmediata.
Dada la explotación activa por el grupo de ransomware, se recomienda encarecidamente lo siguiente a las organizaciones afectadas o con riesgo de serlo:
- Aplicar el parche de Cisco: Instalar la actualización de seguridad inmediatamente.
- Aislar la interfaz de administración: Como medida temporal, restringir estrictamente el acceso a la interfaz web del FMC. Esta solo debe ser accesible desde direcciones IP de administración confiables o a través de una VPN interna dedicada, bloqueando cualquier exposición a Internet o a segmentos de red no confiables.
Referencias
- Cisco Security Advisories: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
- National Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2026-20131
