Cisco patcht Kritieke bug met CVSS-score van 10 in firewallsoftware

Cisco waarschuwt voor een Kritieke kwetsbaarheid in de Secure Firewall Management Center-software. Het bedrijf raadt gebruikers aan om een software-update te installeren om de bug op te lossen. Er zijn volgens Cisco geen tijdelijke workarounds voor het probleem.

De kwetsbaarheid is geregistreerd onder CVE-2025-20265 en heeft een maximale CVSS-score van 10. De bug treft specifiek versies 7.0.7 en 7.7.0 die Radius-authenticatie ingeschakeld hebben in de webinterface en/of ssh-management. Een bedrijf dat gebruikmaakt van de software kan de bug daarom volgens Cisco ook oplossen door een andere vorm van authenticatie in te schakelen, zoals LDAP of SAML single sign-on.

Het beveiligingsprobleem bevindt zich in het Radius-subsysteem van de FMC-software. Het probleem ontstaat door een gebrekkige controle van gebruikersinvoer tijdens het authenticatieproces. Met een speciaal ontworpen invoer kan een niet-geauthenticeerde, externe aanvaller shellcommando's injecteren en met hoge rechten uitvoeren op de getroffen apparatuur. Daardoor zou een hacker in theorie volledige controle over het apparaat kunnen krijgen. Het lek is niet aanwezig in de Secure Firewall Adaptive Security Appliance- en Cisco Secure Firewall Threat Defense-software.

Naast deze Kritieke bug heeft Cisco ook nog veertien andere kwetsbaarheden gepatcht met een CVSS-score van tussen de 7,7 en 8,6, schrijft The Hacker News. Het gaat om meerdere DenialofService-problemen in de firewallsoftware van het bedrijf. Die kunnen bij de Secure Firewall Adaptive Security Appliance-software en Firewall Threat Defense-software onder meer getriggerd worden door een kwetsbaarheid in de verwerking van SSL/TLS-certificaten.

Door Imre Himmelbauer

Redacteur

Feedback • 15-08-2025 15:37
12 • submitter: wilddarkstone

15-08-2025 • 15:37

12

Submitter: wilddarkstone

Lees meer

Adobe dicht lek in e-commercesoftware dat overname van sessie mogelijk maakt
Adobe dicht lek in e-commercesoftware dat overname van sessie mogelijk maakt Nieuws van 10 september 2025
Plex spoort gebruikers aan om Media Server te updaten door beveiligingsprobleem
Plex spoort gebruikers aan om Media Server te updaten door beveiligingsprobleem Nieuws van 15 augustus 2025
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt Nieuws van 14 augustus 2025
CISA wil CVE ook na april financieren ondanks eigen bezuinigingen
CISA wil CVE ook na april financieren ondanks eigen bezuinigingen Nieuws van 13 augustus 2025
Microsoft repareert tijdens Patch Tuesday 107 bugs waaronder een zeroday
Microsoft repareert tijdens Patch Tuesday 107 bugs waaronder een zeroday Nieuws van 13 augustus 2025
Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium
Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium Nieuws van 11 augustus 2025
Meer producten en artikelen
Netwerk en systeembeheer Software development Cisco

Reacties (12)

-Moderatie-faq
12
12
7
0
0
5
Wijzig sortering
GeleFles 15 augustus 2025 15:47
Een score van 10 klinkt wel heftig en moet je uiteraard ook snel fixen, maar als je een firewall implementatie doet inclusief een FMC, dan richt je de FMC wel zo in dat ie niet vanaf internet te bereiken is. En het liefst natuurlijk alleen van een specifiek beheerdersnetwerk.

Neemt niet weg dat je vanaf de FMC meerdere firewalls kan beheren en dus relatief makkelijk gaten kan prikken in een infrastructuur.

In de tijd dat ik met FMC heb gewerkt, vond ik het maar een draak van een management console, lang niet alles kon via de management console en moest je aparte scripts bouwen voor specifieke functionaliteit op de firewalls. Het voelde een beetje als een bij elkaar geraapt zooitje.
Fox3214 @GeleFles15 augustus 2025 16:25
Helemaal mee eens.

Ik kan me bijna niet voorstellen dat je beheer omgeving met RADIUS in je DMZ plaatst. Lijkt me dat je eerst een VPN naar je beheer netwerk moet opbouwen om dan vervolgens naar je FMC te gaan.

Ja, ik vraag me af of men uberhaupt weet hoe ze een FMC kunnen gebruiken bij een hack. :D
Faifz @Fox321415 augustus 2025 17:04
Een out-of-band netwerk met een andere ISP is vrijwel de beste oplossing, dus je gooit SAML op de firewall en je verbindt de management interfaces van de productie firewalls/switches/whatnot aan het OOB netwerk die liefst achter een andere ISP staan.
Nark0tiX @Fox321415 augustus 2025 23:19
Ook een VPN is vaak de zwakste schakel.

Aanvaller target de netwerkbeheerder via phishing/malware toegang tot beheerderslaptop..

VPN-certificaten of -credentials stelen

Vervolgens legitieme toegang tot beheernetwerk

Dit is waarom moderne zero-trust architecturen zo belangrijk zijn - zelfs met VPN-toegang nog steeds multi-factor authenticatie, privileged access management en continue monitoring gebruiken.
lenwar @GeleFles15 augustus 2025 17:18
Klopt, maar als er vanuit dat interne (beheer-)netwerk wat geks gebeurd. Iedereen is vatbaar voor (spear)phishing, en als het daarna zo is dat je de firewalls kunt manipuleren, dan is het natuurlijk wel echt een ding.

Uiteraard zijn er nog veel andere manieren om te bedenken, sommige vergezocht, sommige inkoppers (zoals die van mij), maar het feit blijft dat het wel allemaal realiteit is. Ook een boze werknemer kan dit dus relatief simpel misbruiken (want ongeauthentiseerd). Puur een netwerkverbinding lijkt al voldoende.
kodak @GeleFles15 augustus 2025 21:17
Cisco geeft helaas (weer) geen duidelijkheid waarom ze hun beveiligingsbug de hoogste CVSS score geven. Dat is zorgwekkend.

Deze interfaces lijken namelijk gemaakt om de service te beheren. Maar voor behoorlijk beheer gaat geen professionele fabrikant of beheerder aanraden dit soort interfaces voor iedereen toegankelijk te maken. Dit soort interfaces horen juist streng gescheiden te zijn van gewone gebruikers. Zeker voor willekeurige internetters maar ook op het bedrijfsnetwerk. En dan krijgt dit geen maximale score.

De enige reden om het wel de maximale (basis) score te geven is als je als fabrikant stelt dat het prima is als je dit soort beheer interfaces voor iedereen beschikbaar maakt om er gebruik van proberen te maken. In alle andere situaties is het risico door de strenge extra scheiding een stuk minder. En dat is precies waarom die strenge scheiding het uitgangspunt is en niet dat diverse beheerders en eigenaren daar lak aan hebben.
YGDRASSIL @kodak16 augustus 2025 21:57
Als je op een login prompt zonder credentials te hebben admin access op het hoogste niveau kan krijgen vind ik t wel een tien waard. Zeker als die logon aan t publieke internet gehangen zou kunnen worden (ook al is dat geen best practice).
kodak @YGDRASSIL17 augustus 2025 12:35
Dat is niet hoe CVSS werkt voor een basis score. De basis is dat je behoorlijke beveiliging hebt toegepast.

De CVSS score is ook voor afwijkende omstandigheden te bepalen, maar dan is het geen basiswaarde meer. En als men afwijkt hoort dat aangegeven te worden. Cisco laat dit na waardoor het stelt dat je een beheer interface niet behoorlijk hoort af te beschermen van gebruikers vanaf het internet of vanaf het gewone bedrijfsnetwerk. En dat staat haaks op wat al jaren wel behoorlijk beheer is.
Martijn033 @kodak18 augustus 2025 09:21
De basis is dat je behoorlijke beveiliging hebt toegepast.
Niet geheel terzijde: maar dat is nu juist het probleem. Enkele jaren geleden hadden we in Nederland nog een relletje in IT-land omdat Defensie in _al_ hun Cisco-routers voor ip-telefonie het admin-wachtwoord niet had aangepast. Het was dus de fabrieksstandaard admin met wachtwoord admin.
kodak @Martijn03318 augustus 2025 13:42
Dat er organisaties zijn die minder aan beveiliging doen is een probleem. Maar dat is geen reden om de basisscore te baseren op het probleem in plaats van een professioneel beheerde omgeving.
bussie66 15 augustus 2025 19:52
Eens kijken hoeveel ellende er is over paar maanden omdat bedrijven weer 'vergeten' zijn te patchen 8)7
kodak @bussie6615 augustus 2025 21:22
Dat ligt dan niet slechts aan het vergeten zijn te patchen. Dit zijn namelijk kennelijk beheer intetfaces. Als een crimineel daar standaard bij kan dan past men geen behoorlijke beveiliging toe. En als een crimineel er indirect bij kan dan heeft die dus andere 'beveiliging' moeten doorbreken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq