Cisco Secure Firewall’da xavfli zaiflik: Hujumchilar tizimga to‘liq kirish huquqini olishi mumkin

Cisco kompaniyasi o‘zining Secure Firewall Management Center (FMC) dasturiy ta’minotida juda xavfli zaiflik aniqlanganini ma’lum qildi.
CVE-2025-20265 deb nomlangan ushbu zaiflikning xavf darajasi CVSS baholash tizimida maksimal 10.0 ball oldi, bu esa uning o‘ta kritik darajada ekanini anglatadi.

Xavf nimada?

Zaiflik Cisco’ning RADIUS autentifikatsiya tizimi ishlash jarayonida foydalanuvchi ma’lumotlarini tekshirish bosqichida yuzaga keladi.
Maxsus yaratilgan zararli login-parol yuborish orqali hujumchi tizimga shell buyruqlarini kiritishi va ularni yuqori imtiyozli huquqlar bilan masofadan turib bajarishi mumkin.

Eng xavfli jihati shundaki:

  • Hech qanday autentifikatsiya talab qilinmaydi — ya’ni hujumchi tizimga kira olmasa ham zaiflikdan foydalana oladi.
  • Hujum masofadan turib, tarmoq orqali amalga oshiriladi.

Ta’sir doirasi

Zaif versiyalar:

  • Cisco Secure FMC Software 7.0.7 (RADIUS yoqilgan bo‘lsa)
  • Cisco Secure FMC Software 7.7.0 (RADIUS yoqilgan bo‘lsa)

Ta’sir qilmaydigan mahsulotlar:

  • Cisco Secure Firewall ASA Software — ta’sir qilmaydi
  • Cisco Secure Firewall Threat Defense (FTD) Software — ta’sir qilmaydi

Agar RADIUS autentifikatsiyasi o‘chirib qo‘yilgan bo‘lsa, tizim bu hujumga nisbatan himoyalangan bo‘ladi.

Nega bunday bo‘ldi?

Muammo foydalanuvchi kiritgan ma’lumotlarni tekshirish va filtrlash jarayonida yetarlicha input validation bo‘lmagani sababli yuzaga kelgan. Bu esa RADIUS autentifikatsiya so‘rovlari orqali Command Injection hujumlariga yo‘l ochgan.

Yechimlar va tavsiyalar

  • Cisco zaiflikni bartaraf etuvchi bepul yangilanish chiqardi.
  • Hech qanday vaqtinchalik workaround mavjud emas.
  • RADIUS o‘rniga vaqtincha Local Accounts, LDAP yoki SAML SSO kabi muqobil autentifikatsiya usullariga o‘tish mumkin.
  • Yangilanish imkon qadar tez o‘rnatilishi kerak — bu favqulodda darajadagi patch sifatida ko‘rilmoqda.

Nega bu juda xavfli?

Bu zaiflik hujumchiga:

  • Tizimda to‘liq boshqaruv huquqini olish
  • Firewall konfiguratsiyalarini o‘zgartirish
  • Tizimni butunlay ishdan chiqarish
  • Boshqa ichki tarmoqlarga hujum o‘tkazish imkonini beradi.

Cisco PSIRT ma’lumotiga ko‘ra, hozircha bu zaiflikdan foydalangan real hujumlar qayd etilmagan. Lekin kiberxavfsizlik mutaxassislari buni kechiktirib bo‘lmaydigan xavf sifatida baholamoqda.

Agar tashkilotingizda Cisco Secure FMC va RADIUS autentifikatsiyasi ishlatilsa, bu zaiflikni e’tiborsiz qoldirish — kiberjinoyatchilarga tizimingiz eshigini ochib qo‘yish bilan barobar.
Darhol yangilanishni o‘rnating, autentifikatsiya sozlamalarini qayta ko‘rib chiqing va xavfsizlik siyosatingizni kuchaytiring.