Cisco Secure Firewall Vulnerability Allows Remote Code Execution as Root User
2026/03/26 CyberSecurityNews — Cisco が公開したのは、Secure Firewall Management Center (FMC) ソフトウェアに存在する、深刻な脆弱性に対処する緊急セキュリティ・アドバイザリである。この脆弱性を悪用する未認証のリモート攻撃者は、root 権限で任意のコード実行を可能にする。脆弱性 CVE-2026-20131 (CVSS:10.0 Critical) は、不適切なデシリアライズ (CWE-502) に起因し、リモートからの特権を必要としない悪用を引き起こす。
この脆弱性は、Cisco Secure FMC の Web ベース管理インターフェイスに存在する。ユーザーが提供する Java バイト・ストリームの安全性を検証せずに、デシリアライズすることが直接の原因である。特別に細工されたシリアライズ済み Java オブジェクトを、脆弱な Web インターフェイスに送信するだけで、この脆弱性の悪用が可能となる。
悪用に成功した攻撃者は、対象デバイス上で任意の Java コードを実行できる。それにより、攻撃者の権限は完全な root 権限へと昇格され、コア管理システムにおける root アクセスという、きわめて危険な状況へと至る。その結果として、セキュリティ制御の改竄/防御機構の無効化/持続的な足がかりの確立/内部ネットワークへのさらなる攻撃などが実行可能になる。
この深刻な脆弱性は、Cisco Advanced Security Initiatives Group の Keane O’Kelley による内部セキュリティ・テスト中に発見されたものであり、その後の状況が悪化しているという。Product Security Incident Response Team (PSIRT) により、2026年3月に実環境での悪用試行が確認されたことを、Cisco は公式アドバイザリで明らかにしている。
この攻撃では、事前認証とユーザー操作が不要であるため、インターネットに公開された管理インターフェイスを持つシステムには、きわめて高いリスクが生じている。Firewall Management Center (FMC) 管理インターフェイスへの、パブリック・インターネットからのアクセスを制限することで、アタック・サーフェスを大幅に削減できると Cisco は強調しているが、適切なパッチ適用の代替とはならない。
対策
この脆弱性は、デバイス・コンフィグには関係なく、以下のソフトウェアに影響を及ぼす。
- Cisco Secure FMC Software
- Cisco Security Cloud Control (SCC) Firewall Management
その一方で、以下は影響を受けない。
- Secure Firewall Adaptive Security Appliance (ASA)
- Secure Firewall Threat Defense (FTD)
オンプレミス環境では、この脆弱性を軽減する暫定的な回避策が存在しない。したがってユーザー組織は、Cisco が提供する公式セキュリティ・アップデートを直ちに適用する必要がある。管理者に対して強く推奨されるのは、Cisco Software Checker ツールを介して正確なバージョンを確認し、影響を受けるシステムを速やかにアップグレードすることだ。
なお、SaaS として提供される SCC Firewall Management 環境は、Cisco の定期メンテナンスにより修正が適用されているため、追加の対応は不要である。
訳者後書:この脆弱性 CVE-2026-20131 は、プログラムがデータを受け取る際の処理に起因します。 Java という言語では、オブジェクトを転送可能な形式に変換するために “シリアライズ” という仕組みを用いますが、このデータを元に戻す “デシリアライズ” のプロセスで、外部から送られてきた内容を十分に検証せずに受け入れてしまう問題が発生しています。それにより、悪意のデータが含まれている場合であっても、そのまま処理されるため、結果として root 権限という高権限での命令実行が引き起こされます利用のチームは、ご注意ください。よろしければ、Cisco での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.