思科为安全团队带来了有史以来最大的防火墙产品补丁工作量之一,包括修复公司安全防火墙管理中心(FMC)软件中的两个"满分10分"漏洞。
总体而言,3月4日发布的补丁是2026年首个半年度防火墙更新,解决了25个安全公告,涵盖48个独立的CVE漏洞。
最大的担忧将是FMC缺陷CVE-2026-20079和CVE-2026-20131,第一个是身份验证绕过弱点,第二个涉及不安全的反序列化。两者都被评为"关键"级别,CVSS评分均为满分10分。
这些弱点与平台的网络管理接口有关,可提供未经身份验证的root访问权限。这将使它们成为使用逆向工程工具揭示底层缺陷工作原理的攻击者的重要目标。
这种情况还没有发生——两者都没有被报告为正在被利用——但毫无疑问,如果攻击者能够做到,他们会迅速抓住这些漏洞。
思科对CVE-2026-20079表示:"攻击者可以通过向受影响的设备发送精心制作的HTTP请求来利用此漏洞。成功的利用可能允许攻击者执行各种脚本和命令,从而获得对设备的root访问权限。"
CVE-2026-20131的描述如下:"攻击者可以通过向受影响设备的基于网络的管理界面发送精心制作的序列化Java对象来利用此漏洞。成功的利用可能允许攻击者在设备上执行任意代码并将权限提升至root。"
思科表示,这两个漏洞都没有变通方法。然而,对于CVE-2026-20131,它指出:"如果FMC管理界面无法访问公共互联网,则与此漏洞相关的攻击面会减少。"
简而言之,如果他们现在无法打补丁,管理员应确保FMC在打补丁之前不会暴露。
在其余缺陷中,还有六个被评为"高"级别,CVSS评分在7.2到8.6之间。其中包括防火墙管理中心SQL注入漏洞CVE-2026-20001、CVE-2026-20002和CVE-2026-20003,所有这些都可被经过身份验证的攻击者远程利用。同样,没有可能的变通方法。
CVE-2026-20039,评级为8.6("关键"),是影响思科安全防火墙自适应安全设备(ASA)软件和思科安全防火墙威胁防御(FTD)软件中VPN网络服务器的缺陷,可能允许未经身份验证的攻击者诱发拒绝服务状态。
此外,CVE-2026-20082,也被评为8.6分,可能允许未经身份验证的攻击者在思科安全防火墙自适应安全设备(ASA)软件中导致传入的TCP SYN数据包被错误丢弃。
修复3月更新中解决的缺陷的程序因安装的软件版本而异。思科建议使用其软件检查器来确定适当的更新。或者,管理员可以查阅思科安全防火墙威胁防御兼容性指南中的表格。
关键级别缺陷和零日漏洞在过去几年中已成为思科补丁轮次中的常规现象,现在几乎被视为"零日事件"本身。
安全团队会想起去年9月的紧急补丁,该补丁解决了影响思科安全防火墙自适应安全设备(ASA)VPN和思科安全防火墙威胁防御(FTD)软件的类似网络服务缺陷。
其中,CVE-2025-20333和CVE-2025-20362正在遭受零日利用,而第三个CVE-2025-20363被认为面临即将到来的威胁。这些攻击足够严重,思科发布了"事件响应"公告,提供了有关报告的利用和妥协指标的更多详细信息。
Q&A
Q1:CVE-2026-20079和CVE-2026-20131这两个漏洞有什么危害?
A:这两个漏洞都被评为"关键"级别,CVSS评分均为满分10分。CVE-2026-20079是身份验证绕过弱点,CVE-2026-20131涉及不安全的反序列化。两者都与平台的网络管理接口相关,可提供未经身份验证的root访问权限,使攻击者能够完全控制设备。
Q2:思科安全防火墙管理中心用户应该如何应对这次漏洞?
A:思科表示这些漏洞没有变通方法,必须立即打补丁。如果无法立即打补丁,管理员应确保FMC管理界面无法访问公共互联网,以减少攻击面。建议使用思科软件检查器确定适当的更新版本。
Q3:这次思科补丁更新总共修复了多少个安全漏洞?
A:这次3月4日的补丁更新是2026年首个半年度防火墙更新,总共解决了25个安全公告,涵盖48个独立的CVE漏洞。除了两个满分10分的关键漏洞外,还有6个被评为"高"级别的漏洞,CVSS评分在7.2到8.6之间。