شناسه CVE-2026-20131 :CVE
CWE-502 :CWE
yes :Advisory
منتشر شده: مارس 4, 2026
به روز شده: مارس 25, 2026
امتیاز: 10.0
نوع حمله: Remote Command Execution

اثر گذاری: Arbitrary Code Execution as Root
حوزه: تجهیزات شبکه و امنیت
برند: Cisco
محصول: Cisco Secure Firewall Management Center (FMC)
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در نرم‌افزار Cisco Secure Firewall Management Center (FMC) به دلیل سریال‌زدایی (Deserialization) ناامن داده‌های Java در رابط مدیریتی تحت وب ایجاد شده است. این ضعف به مهاجم اجازه می‌دهد بدون نیاز به احراز هویت و از راه دور، با ارسال یک آبجکت سریال‌سازی‌شده‌ی مخرب Java، کد دلخواه را با سطح دسترسی root روی دستگاه اجرا کند.

توضیحات

آسیب‌پذیری CVE-2026-20131 یک ضعف امنیتی بحرانی در رابط مدیریتی تحت وب نرم‌افزار Cisco Secure Firewall Management Center (FMC) است که به دلیل پیاده‌سازی ناامن فرآیند سریال‌زدایی (Deserialization) داده‌های Java رخ می‌دهد و مطابق با استاندارد CWE-502 طبقه‌بندی می‌شود. در برنامه‌های Java، فرآیند سریال‌سازی (Serialization) برای تبدیل یک آبجکت (Object) به جریان بایت (Byte Stream) به‌منظور انتقال یا ذخیره‌سازی استفاده می‌شود و سریال‌زدایی فرآیند معکوس آن است که طی آن داده‌های دریافتی مجدداً به یک آبجکت Java تبدیل می‌شوند. اگر این داده‌ها بدون اعتبارسنجی مناسب از منابع غیرقابل اعتماد دریافت شوند، امکان اجرای کد مخرب فراهم می‌شود. در واقع، این فرآیند زمانی که به درستی مدیریت نشود، به نقطه ضعف جدی در سیستم تبدیل می‌شود و می‌تواند به راحتی برای اجرای حملات سایبری مورد استفاده قرار گیرد.

در این آسیب‌پذیری، رابط مدیریتی وب FMC که برای مدیریت و پیکربندی سیاست‌های امنیتی فایروال استفاده می‌شود، داده‌های سریال‌سازی شده Java را که توسط کاربر ارسال شده‌اند به‌طور ناامن پردازش می‌کند. مهاجم می‌تواند با ارسال یک آبجکت Java دستکاری‌شده به این رابط مدیریتی، زنجیره‌ای از فراخوانی‌های مخرب (Gadget Chain) را در فرآیند سریال‌زدایی فعال کند و در نهایت اجرای کد دلخواه را در سیستم هدف به دست آورد. به عبارت دیگر، مهاجم قادر است از این آسیب‌پذیری برای وارد کردن دستورات مخرب به سیستم و اجرا کردن کد دلخواه خود در سطح سیستم عامل استفاده کند.

این حمله بدون نیاز به احراز هویت و از راه دور انجام می‌شود و هیچ تعامل کاربری نیز برای موفقیت آن لازم نیست. مهاجم می‌تواند با استفاده از اسکریپت‌ها یا ابزارهای خودکار، یک درخواست HTTP مخرب به رابط مدیریتی وب ارسال کند که حاوی یک آبجکت Java سریال‌سازی‌شده دستکاری‌شده است. پس از پردازش این داده‌ها توسط سیستم، کد مخرب مهاجم اجرا شده و مهاجم می‌تواند دستورات دلخواه خود را در سطح دسترسی root اجرا کند. این نوع دسترسی به معنای بالاترین سطح دسترسی مدیریتی است که به مهاجم اجازه می‌دهد کنترل کامل سیستم را در اختیار بگیرد و عملیات‌های خطرناکی مانند سرقت داده‌های حساس یا تغییر پیکربندی‌ها را انجام دهد.

رابط مدیریتی FMC معمولاً از طریق پروتکل‌های HTTP یا HTTPS (پروتکل امن انتقال داده در وب) در دسترس است و برای مدیریت مرکزی تجهیزات Cisco Secure Firewall استفاده می‌شود. در صورتی که این رابط مدیریتی در اینترنت عمومی قابل دسترسی باشد، سطح حمله به‌طور قابل‌توجهی افزایش می‌یابد، زیرا مهاجمان می‌توانند از هر نقطه‌ای در اینترنت اقدام به بهره‌برداری از این ضعف کنند. در مقابل، اگر دسترسی به این رابط تنها از طریق شبکه داخلی یا شبکه مدیریتی محدود شده باشد، احتمال بهره‌برداری کاهش می‌یابد. با این حال، در سناریوهایی که این رابط از خارج شبکه (مثل اینترنت عمومی) در دسترس باشد، آسیب‌پذیری می‌تواند به طور بالقوه به سیستم‌ها و داده‌های حساس سازمان‌ها آسیب بزند.

همچنین مقدار دامنه تغییر یافته (S:C) نشان می‌دهد که دامنه تأثیر آسیب‌پذیری می‌تواند از مرزهای امنیتی سیستم عبور کرده و به سایر بخش‌های سیستم و شبکه نفوذ کند. پیامدهای امنیتی این آسیب‌پذیری شامل تأثیر شدید بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) است؛ زیرا مهاجم پس از بهره‌برداری می‌تواند به داده‌های حساس دسترسی پیدا کند، پیکربندی‌های امنیتی را تغییر دهد یا عملکرد سامانه را مختل کند. به‌طور خاص، مهاجم می‌تواند سیاست‌های فایروال را تغییر دهد، شبکه را دستکاری کند یا سرویس‌های حیاتی را غیرفعال سازد.

طبق گزارش تیم PSIRT Cisco ، تلاش‌هایی برای بهره‌برداری از این آسیب‌پذیری در محیط‌های واقعی مشاهده شده است. همچنین این آسیب‌پذیری در فهرست KEV سازمان CISA قرار گرفته است که نشان می‌دهد نمونه‌های واقعی از سوءاستفاده از آن در حملات سایبری شناسایی شده‌اند.

کد اثبات مفهومی (PoC) برای این آسیب‌پذیری نیز به‌صورت عمومی منتشر شده است. این PoC نشان می‌دهد که چگونه مهاجم می‌تواند با ارسال یک آبجکت Java سریال‌سازی‌شده مخرب به رابط مدیریتی، فرآیند سریال‌زدایی را دستکاری کرده و دسترسی مدیریتی کامل به سیستم هدف به دست آورد. در سناریوهای واقعی، مهاجمان می‌توانند از این دسترسی برای تغییر سیاست‌های امنیتی فایروال، دستکاری پیکربندی شبکه یا ایجاد دسترسی پایدار در زیرساخت سازمان استفاده کنند.

در پاسخ به این آسیب‌پذیری، Cisco پچ‌های امنیتی برای رفع این مشکل در Cisco Secure FMC Software منتشر کرده است. همچنین باید توجه داشت که Cisco SCC Firewall Management به‌عنوان یک سرویس SaaS ارائه می‌شود و پچ‌های امنیتی برای آن به‌طور خودکار اعمال شده است، بنابراین کاربران این سرویس نیازی به انجام اقدامات اضافی برای اعمال پچ‌ها ندارند.

CVSS

Score	Severity	Version	Vector String
10.0	CRITICAL	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions

Product

affected at 7.0.0

affected at 7.0.0.1

affected at 7.0.1

affected at 7.1.0

affected at 6.4.0.13

affected at 7.0.1.1

affected at 6.4.0.14

affected at 7.1.0.1

affected at 7.0.2

affected at 6.4.0.15

affected at 7.2.0

affected at 7.0.2.1

affected at 7.0.3

affected at 7.1.0.2

affected at 7.2.0.1

affected at 7.0.4

affected at 7.2.1

affected at 7.0.5

affected at 6.4.0.16

affected at 7.3.0

affected at 7.2.2

affected at 7.3.1

affected at 7.2.3

affected at 7.1.0.3

affected at 7.2.3.1

affected at 7.2.4

affected at 7.0.6

affected at 7.2.4.1

affected at 7.2.5

affected at 7.3.1.1

affected at 7.4.0

affected at 6.4.0.17

affected at 7.0.6.1

affected at 7.2.5.1

affected at 7.4.1

affected at 7.2.6

affected at 7.4.1.1

affected at 7.0.6.2

affected at 6.4.0.18

affected at 7.2.7

affected at 7.2.5.2

affected at 7.3.1.2

affected at 7.2.8

affected at 7.6.0

affected at 7.4.2

affected at 7.2.8.1

affected at 7.0.6.3

affected at 7.4.2.1

affected at 7.2.9

affected at 7.0.7

affected at 7.7.0

affected at 7.4.2.2

affected at 7.2.10

affected at 7.6.1

affected at 7.4.2.3

affected at 7.0.8

affected at 7.6.2

affected at 7.7.10

affected at 7.2.10.1

affected at 7.0.8.1

affected at 7.6.2.1

affected at 7.2.10.2

affected at 7.7.10.1

affected at 7.4.2.4

affected at 7.4.3

affected at 7.7.11

affected at 7.6.4

affected at 10.0.0

affected at 7.4.4

affected at 7.4.5

Cisco Secure Firewall Management Center (FMC)

لیست محصولات بروز شده

Versions	Product
Fixed Software Available	Cisco Secure Firewall Management Center (FMC)

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Cisco FMC را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
966	site:.ir “Cisco” “FMC”	Cisco FMC

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در زیرساخت‌های امنیت شبکه مبتنی بر Cisco Secure Firewall Management Center می‌تواند منجر به اجرای کد دلخواه با سطح دسترسی root در سیستم مدیریتی فایروال شود. با توجه به مشاهده تلاش‌های بهره‌برداری از این آسیب‌پذیری در محیط‌های واقعی، انجام اقدامات پیشگیرانه و اصلاحی زیر برای کاهش ریسک ضروری است:

به‌روزرسانی فوری نرم‌افزار: مهم‌ترین اقدام برای رفع این آسیب‌پذیری، ارتقای Cisco Secure Firewall Management Center به نسخه‌های پچ‌شده منتشر شده توسط Cisco است. سایر اقدامات ذکر شده به عنوان تدابیر تکمیلی به کاهش ریسک این آسیب‌پذیری و مقابله با حملات مشابه کمک می‌کنند.
محدودسازی دسترسی به رابط مدیریتی: رابط مدیریت وب FMC باید تنها از طریق شبکه مدیریتی داخلی یا شبکه‌های قابل اعتماد در دسترس باشد و از قرار گرفتن آن در اینترنت عمومی جلوگیری شود. استفاده از کنترل دسترسی مبتنی بر آدرس IP و شبکه‌های مدیریتی جداگانه می‌تواند سطح حمله را کاهش دهد.
استفاده از فایروال اپلیکیشن وب (WAF): استقرار WAF در جلوی رابط مدیریتی می‌تواند درخواست‌های غیرعادی یا الگوهای حمله مرتبط با سریال‌زدایی را شناسایی و مسدود کند.
پیاده‌سازی سامانه تشخیص و جلوگیری از نفوذ (IDS/IPS): این سامانه‌ها قادرند الگوهای عملکردی مشکوک در ترافیک شبکه را شناسایی کرده و از اجرای حملات مبتنی بر ارسال داده‌های مخرب جلوگیری کنند.
مانیتورینگ و تحلیل لاگ‌ها: ثبت و بررسی لاگ‌های امنیتی در FMC و سامانه‌های مرتبط می‌تواند تلاش‌های غیرمجاز برای دسترسی به رابط مدیریتی یا ارسال داده‌های غیرعادی را شناسایی کند. استفاده از سامانه مدیریت رویدادهای امنیتی (SIEM) برای تحلیل متمرکز لاگ‌ها توصیه می‌شود.
جداسازی شبکه مدیریتی: توصیه می‌شود سامانه‌های مدیریت امنیتی مانند FMC در شبکه‌ای ایزوله از شبکه عملیاتی قرار گیرند تا در صورت وقوع نفوذ، دامنه آسیب محدود شود.
ارزیابی امنیتی و تست نفوذ: انجام اسکن‌های امنیتی دوره‌ای با ابزارهایی مانند Nessus، OpenVAS یا Burp Suite و همچنین اجرای تست نفوذ (Penetration Testing) می‌تواند آسیب‌پذیری‌های مشابه را در مراحل اولیه شناسایی کند.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری نرم‌افزار و محدودسازی دسترسی به رابط مدیریتی، می‌تواند احتمال بهره‌برداری از این آسیب‌پذیری بحرانی را به میزان قابل توجهی کاهش داده و امنیت زیرساخت مدیریت فایروال در سازمان‌ها را به شکل چشمگیری بهبود بخشد.

امکان استفاده در تاکتیک‌های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)
مهاجم با ارسال درخواست‌های HTTP به‌طور خاص طراحی‌شده حاوی یک شیء Java سریال‌ سازی شده مخرب به رابط مدیریت مبتنی بر وب FMC هدف، بدون نیاز به احراز هویت، دسترسی اولیه به عنوان root به دستگاه را به دست می‌آورد.

Execution (TA0002)
پس از ارسال درخواست مخرب، فرآیند سریال زدایی ناامن FMC باعث اجرای کد دلخواه Java با سطح دسترسی root می‌شود. سپس سیستم مورد نظر یک درخواست HTTP PUT به یک سرور خارجی ارسال می‌کند تا موفقیت بهره‌برداری را تأیید کرده و فرمان‌هایی برای دریافت ابزارهای حمله بیشتر ارسال می‌کند.

Persistence (TA0003)
پس از کسب دسترسی، مهاجمان می توانند با استقرار بکدورهای سفارشی نوشته‌شده به زبان‌های JavaScript و Java که قابلیت‌های به‌روزرسانی خودکار و خودحذفی را دارند، و همچنین نصب ConnectWise ScreenConnect برای دسترسی پایدار از راه دور، دسترسی خود را تضمین کنند.

Privilege Escalation (TA0004)
هدف اصلی این آسیب‌پذیری ارتقاء سطح دسترسی است. مهاجم با بهره‌برداری از CVE-2026-20131، مستقیماً کد خود را با سطح دسترسی root اجرا می‌کند. این یک ارتقاء سطح دسترسی از “بدون دسترسی” به “بالاترین سطح ممکن (root)” است.

Defense Evasion (TA0005)
مهاجمان از تکنیک‌های متعددی برای فرار از دید مکانیزم‌های دفاعی استفاده می‌کنند: اجرای یک اسکریپت Bash که به عنوان cron job هر پنج دقیقه یک بار اجرا شده و محتویات تمام فایل‌های log را پاک می‌کند، و غیرفعال‌سازی تاریخچه شل با خالی کردن متغیر HISTFILE.

Credential Access (TA0006)
پس از دستیابی به دسترسی root، مهاجمان می توانند از ابزارهای کشف و سرقت اعتبارنامه مانند چارچوب Volatility Framework برای تجزیه و تحلیل dump حافظه و دسترسی به داده‌های حساس مانند اعتبارنامه‌ها، و ابزار Certify برای سوءاستفاده از پیکربندی‌های نادرست در Active Directory Certificate Services استفاده کنند.

Impact (TA0040)
بهره‌برداری موفق از این آسیب‌پذیری منجر به نابودی کامل محرمانگی، یکپارچگی و در دسترس بودن شبکه هدف می‌شود. مهاجم با کنترل FMC که مرکز مدیریت تمام فایروال‌های سازمانی است، می‌تواند قوانین امنیتی را تغییر داده، ترافیک مخرب را پنهان کند، به تمام داده‌های عبوری از شبکه دسترسی یابد، و از FMC به عنوان سکوی پرشی برای نفوذ به سایر سیستم‌های شبکه استفاده کند. در نهایت، مهاجم می‌تواند باج‌افزار را در سراسر شبکه مستقر کرده و باعث توقف کامل عملیات تجاری، نقض قوانین حریم خصوصی و خسارات مالی جبران‌ناپذیر شود. گروه Interlock قبلاً این آسیب‌پذیری را در حملات باج‌افزاری خود علیه سازمان‌های بزرگ مانند DaVita، Kettering Health و Texas Tech University استفاده کرده است.

منابع

گزارش اثبات آسیب‌پذیری CVE-2026-20131

اطلاعات آسیب‌پذیری

عنوان: آسیب‌پذیری اجرای کد از راه دور در رابط مدیریت وب Cisco Secure Firewall Management Center (FMC)
شناسه: CVE-2026-20131
وضعیت مشاوره: Advisory / Patch Available
امتیاز CVSS: 10.0 (Critical)
محصول: Cisco Secure Firewall Management Center (FMC) Software

محصول / نسخه‌های آسیب‌پذیر

در نسخه‌های زیر (پیش از اعمال پچ امنیتی):

Cisco FMC نسخه 6.4.0.13 قبل از 7.0.9
• Cisco FMC نسخه 7.0.0 قبل از 7.0.9
• Cisco FMC نسخه 7.1.0 قبل از 7.2.11
• Cisco FMC نسخه 7.3.0 قبل از 7.4.6
• Cisco FMC نسخه 7.6.0 قبل از 7.6.5
• Cisco FMC نسخه 7.7.0 قبل از 7.7.12
• Cisco FMC نسخه 10.0.0 قبل از 10.0.1
• Cisco FMC نسخه 7.0.x قبل از 7.0.6.3
• Cisco FMC نسخه 7.2.x قبل از 7.2.5.1
• Cisco FMC نسخه 7.4.x قبل از 7.4.2.1
• Cisco FMC نسخه 6.x (تمامی نسخه‌ها)
• Cisco Security Cloud Control (SCC) Firewall Management (خدمت مبتنی بر ابر که توسط Cisco به‌روزرسانی شده است)

محیط‌های درگیر

سازمان‌هایی که از Cisco Secure Firewall Management Center (FMC) برای مدیریت متمرکز فایروال‌های خود استفاده می‌کنند
• محیط‌های عملیاتی (Production) که رابط مدیریت وب FMC در معرض اینترنت یا شبکه‌های داخلی گسترده قرار دارد
• مراکز داده، سازمان‌های دولتی، مؤسسات مالی و ارائه‌دهندگان خدمات مدیریت شده (MSSP)
• محیط‌های مجازی‌سازی و ابری که از FMC به عنوان نقطه کنترل مرکزی استفاده می‌کنند
• کلیه صنایع حیاتی (نظیر انرژی، بهداشت و درمان، مخابرات) که از فایروال‌های Cisco بهره می‌برند

کامپوننت‌های آسیب‌پذیر

رابط مدیریت وب (Web-based Management Interface) Cisco Secure FMC
• فرآیند دریافت و پردازش درخواست‌های HTTP حاوی داده‌های سریالایز شده Java
• مکانیزم Deserialization درون FMC که داده‌های کاربر را بدون اعتبارسنجی معتبر می‌سازد
• زیرسیستم احراز هویت و مجوزدهی FMC (که به طور کامل قابل دور زدن است)
• کتابخانه‌های Java مورد استفاده برای سریالایزاسیون در FMC

ریشه مشکل (Root Cause Analysis)

ریشه اصلی این آسیب‌پذیری به یک نقص امنیتی کلاسیک از نوع «Deserialization ناامن داده‌های غیر قابل اعتماد» (CWE-502) در رابط مدیریت وب Cisco Secure Firewall Management Center (FMC) بازمی‌گردد. FMC برای پردازش برخی درخواست‌های ارسالی به رابط مدیریت وب خود، از مکانیزم سریالایزاسیون Java استفاده می‌کند. در این فرآیند، اشیای Java که به صورت سریالایز شده (byte stream) به سرور ارسال می‌شوند، توسط FMC deserialize شده و به اشیای قابل استفاده در حافظه تبدیل می‌گردند. مشکل از آنجا ناشی می‌شود که FMC بدون انجام هرگونه اعتبارسنجی یا Sanitization، داده‌های سریالایز شده ارسالی از سوی کاربر را deserialize می‌کند. این ضعف از طریق سطح حمله رابط مدیریت وب (که معمولاً روی پورت TCP/443 یا 80 در دسترس است) قابل دسترسی می‌باشد و برای بهره‌برداری موفق، نیاز به دسترسی شبکه به این رابط (بدون نیاز به احراز هویت) است. در سناریوی بهره‌برداری کلی، مهاجم با ارسال یک شیء Java سریالایز شده حاوی کد مخرب (که به طور خاص دستکاری شده است) باعث اجرای آن کد در بستر اجرای FMC با بالاترین سطح دسترسی (root) می‌گردد که نهایتاً منجر به اجرای کامل و از راه دور کد دلخواه مهاجم بر روی دستگاه هدف می‌شود. این آسیب‌پذیری ماهیتاً پیش از احراز هویت (pre‑auth) است و مهاجم برای بهره‌برداری نیاز به هیچ‌گونه اعتبارنامه‌ای ندارد.

بخش آسیب‌پذیر

رفتار ناامن سیستم:

پذیرش و پردازش (deserialize) کردن داده‌های سریالایز شده Java ارسالی از سوی کاربر، بدون انجام هرگونه اعتبارسنجی، Sanitization یا محدودیت بر روی کلاس‌های قابل deserialize شدن. این رفتار ناامن در سطح رابط مدیریت وب و پیش از هرگونه فرآیند احراز هویت رخ می‌دهد.

نحوه سوءاستفاده مهاجم:

اسکن شبکه برای یافتن سیستم‌هایی که رابط مدیریت وب FMC را در معرض دسترس قرار داده‌اند
• ساخت یک payload مخرب شامل یک زنجیره deserialization (gadget chain) که قادر به اجرای کد دلخواه در محیط Java است
• سریالایز کردن payload مذکور به یک آرایه بایت (byte stream)
• ارسال یک درخواست HTTP به آدرس IP یا Hostname سیستم FMC هدف، حاوی داده سریالایز شده در بدنه درخواست (یا یکی از پارامترهای آن)
• دریافت درخواست توسط FMC و deserialize کردن خودکار داده بدون نیاز به احراز هویت
• اجرای کد مخرب درون payload در بستر اجرای FMC با سطح دسترسی root
• دستیابی مهاجم به یک شل ریشه (root shell) روی سیستم عامل
• تغییر قوانین فایروال، اختفای ترافیک مخرب، نصب بدافزارهای پیشرفته و حرکت جانبی در شبکه سازمانی

نقش این آسیب‌پذیری در زنجیره حمله

این آسیب‌پذیری یک نقطه ورود اولیه (Initial Access) بسیار قدرتمند و بحرانی در زنجیره حمله محسوب می‌شود. با توجه به نمره CVSS 10.0 (بیشترین درجه شدت)، ماهیت pre‑auth و امکان دسترسی از راه دور، مهاجم قادر است بدون نیاز به هرگونه تعامل با کاربر یا داشتن اعتبارنامه، کنترل کامل دستگاه FMC را در دست گیرد. FMC به عنوان «مغز متفکر» مدیریت فایروال‌های سازمان عمل می‌کند و تمامی سیاست‌های امنیتی، قوانین دسترسی، لاگ‌ها و پیکربندی‌های امنیتی در آن متمرکز شده است. موفقیت در بهره‌برداری از این آسیب‌پذیری عملاً به معنای واگذاری کلید تمام قفل‌های امنیت شبکه به مهاجم است. مهاجم می‌تواند قوانین فایروال را تغییر داده، ترافیک مخرب خود را از بازرسی امنیتی عبور دهد، لاگ‌های حمله را پاک کرده و از FMC به عنوان سکوی پرشی برای حمله به سایر بخش‌های شبکه (Lateral Movement) استفاده نماید. بهره‌برداری واقعی از این آسیب‌پذیری توسط باج‌افزار Interlock (و احتمالاً سایر گروه‌های تهدید) از ژانویه 2026، 36 روز پیش از افشای عمومی، مشاهده شده است. این موضوع نشان‌دهنده آن است که آسیب‌پذیری مذکور به عنوان یک صفر روز (Zero‑Day) در حملات واقعی مورد سوءاستفاده قرار گرفته و سازمان‌ها را در معرض خطر جدی قرار داده است.

پیش‌نیازهای بهره‌برداری (Prerequisites)

دسترسی شبکه مهاجم به رابط مدیریت وب FMC (معمولاً روی پورت TCP/443 یا 80)
• عدم وجود محدودیت دسترسی مبتنی بر IP (عدم استفاده از ACL) روی رابط مدیریت وب
• استفاده از نسخه آسیب‌پذیر Cisco FMC (مطابق لیست نسخه‌های آسیب‌پذیر)
• عدم اعمال پچ امنیتی منتشرشده توسط Cisco روی سیستم هدف
• قرار داشتن رابط مدیریت وب FMC در معرض اینترنت (در صورت عدم دسترسی مستقیم، حمله از شبکه داخلی نیز امکان‌پذیر است)
• نبود هرگونه سیستم تشخیص نفوذ (IDS/IPS) یا WAF مؤثر برای شناسایی الگوهای deserialization مخرب

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

FMC هرگز داده‌های سریالایز شده غیرقابل اعتماد از کاربران را بدون اعتبارسنجی deserialize نکند
• پیاده‌سازی مکانیزم‌های محدودکننده (مانند Allow‑list) برای کلاس‌های قابل deserialize (Look‑ahead Deserialization)
• اعتبارسنجی هویت کاربر پیش از هرگونه پردازش داده (Authentication First)
• جداسازی کامل فرآیند deserialization در محیطی با کمترین دسترسی (Sandbox)
• استفاده از مکانیزم‌های رمزنگاری و امضای دیجیتال برای اطمینان از اصالت داده‌های سریالایز شده
• ثبت و پایش تمامی تلاش‌های deserialization ناموفق و هشدار به مدیران امنیت
• وجود وصله‌های امنیتی به‌روز و فرآیند خودکار به‌روزرسانی

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

به‌روزرسانی فوری Cisco Secure Firewall Management Center (FMC) به نسخه‌های اصلاح‌شده (با مراجعه به Cisco Software Checker و اعمال آخرین پچ)
• در صورت عدم امکان به‌روزرسانی فوری، قطع کامل دسترسی اینترنت به رابط مدیریت وب FMC (قراردادن آن پشت VPN یا ACLهای محدودکننده)
• اعمال محدودیت دسترسی مبتنی بر IP (Allow‑list) برای رابط مدیریت وب FMC به طوری که فقط آدرس‌های IP معتمد (مانند شبکه مدیریت) قادر به اتصال باشند
• فعال‌سازی لاگ‌های پیشرفته روی FMC و سیستم‌های نظارتی برای رصد درخواست‌های مشکوک
• مسدودسازی ترافیک حاوی الگوهای deserialization مخرب در سطح فایروال شبکه یا WAF
• پایش مداوم لاگ‌های FMC و سیستم‌های SIEM برای شناسایی تلاش‌های بهره‌برداری
• اطلاع‌رسانی فوری به تمام تیم‌های عملیاتی و امنیتی در خصوص وجود این آسیب‌پذیری

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

انجام اسکن کامل شبکه برای شناسایی تمام نمونه‌های FMC در حال اجرا و بررسی نسخه آن‌ها
• پیاده‌سازی مکانیزم‌های Zero Trust برای دسترسی به سطوح مدیریتی (مدیریت متمرکز از طریق VPN با احراز هویت چندعاملی)
• استقرار سیستم‌های تشخیص نفوذ (IDS/IPS) با امضاهای اختصاصی برای شناسایی حملات deserialization Java
• آموزش تیم‌های امنیت و عملیات در خصوص شناسایی و پاسخ به حملات deserialization
• اجرای بازبینی امنیتی (Security Review) بر روی پیکربندی شبکه و دسترسی‌های سطح مدیریت
• فعال‌سازی هشدارهای خودکار برای تغییرات غیرمنتظره در قوانین فایروال و پیکربندی FMC

اقدامات بلندمدت برای کاهش ریسک:

بازطراحی معماری شبکه به گونه‌ای که سطوح مدیریتی (مانند FMC) هرگز به طور مستقیم در معرض اینترنت قرار نگیرند
• استقرار راهکارهای مدیریت دسترسی (PAM) برای کنترل دقیق دسترسی به FMC
• استفاده از راهکارهای خودکار به‌روزرسانی امنیتی (Patch Management) برای اعمال سریع وصله‌های امنیتی
• افزایش سطح آگاهی تیم‌های توسعه و عملیات در خصوص خطرات Deserialization ناامن
• پیاده‌سازی فرآیندهای منظم تست نفوذ (Penetration Testing) و ارزیابی امنیتی برای کشف زودهنگام آسیب‌پذیری‌های مشابه

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

وجود درخواست‌های HTTP حاوی داده‌های باینری طولانی و غیرعادی (مشخصه payloadهای سریالایز شده Java) به سمت رابط مدیریت وب FMC
• ثبت خطاهای مرتبط با deserialization (نظیر ClassNotFoundException، StreamCorruptedException) در لاگ‌های FMC
• افزایش ناگهانی ترافیک ورودی به پورت‌های مدیریتی FMC (TCP 443 یا 80)
• مشاهده تغییرات غیرمنتظره در قوانین فایروال، پیکربندی FMC یا ایجاد کاربران جدید با دسترسی بالا
• لاگ‌های غیرعادی مربوط به دسترسی به فایل‌های سیستمی یا اجرای فرمان‌های shell در سطح FMC
• هشدارهای سیستم‌های IDS/IPS مرتبط با امضاهای حمله deserialization Java (مانند ysoserial)
• گزارش‌های کاربران یا ابزارهای نظارتی مبنی بر رفتار غیرعادی فایروال‌ها (مانند مسدودسازی ترافیک مجاز یا برعکس)

منابع پیشنهادی برای مانیتورینگ و پایش:

لاگ‌های سیستم FMC (شامل syslog، لاگ‌های وب سرور داخلی و لاگ‌های برنامه)
• سیستم‌های SIEM برای جمع‌آوری و تحلیل مرکزی لاگ‌های FMC و تجهیزات شبکه
• راهکارهای NDR (Network Detection and Response) برای شناسایی ترافیک مشکوک به سمت FMC
• سیستم‌های IDS/IPS با امضاهای به‌روز برای حملات deserialization (مانند امضاهای Suricata یا Snort)
• راهکارهای پایش یکپارچگی فایل (FIM) برای نظارت بر تغییرات فایل‌های سیستمی حساس FMC
• ابزارهای مدیریت اطلاعات امنیتی و رویدادها (SIEM) با قابلیت تحلیل رفتار کاربر (UEBA)

واکنش به حادثه (Incident Response)

ایزوله‌سازی فوری سیستم FMC آسیب‌دیده از شبکه (قطع دسترسی شبکه) جهت جلوگیری از حرکت جانبی مهاجم
• جمع‌آوری و حفظ لاگ‌های FMC، ترافیک شبکه مرتبط و اسنپ شات حافظه (Memory Snapshot) برای تحلیل قانونی
• تغییر تمام رمزهای عبور مرتبط با FMC (مدیران، کاربران یکپارچه‌شده با LDAP/AD)
• بازبینی تمام قوانین فایروال، کاربران، لاگ‌ها و پیکربندی FMC برای شناسایی تغییرات مخرب
• اعمال پچ امنیتی یا ارتقای نسخه FMC به نسخه اصلاح‌شده
• اسکن کامل شبکه برای شناسایی سایر سیستم‌هایی که ممکن است مهاجم از FMC به آن‌ها دسترسی یافته باشد
• مستندسازی کامل حادثه (زمان وقوع، نشانه‌ها، اقدامات انجام‌شده، درس‌آموخته‌ها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)

جریان حمله (Attack Flow)

در نمودار زیر(شکل ۱)، جریان کلی بهره‌برداری از این آسیب‌پذیری نشان داده شده است. در این سناریو، مهاجم بدون نیاز به احراز هویت، یک شیء Java سریالایز شده حاوی کد مخرب را به رابط مدیریت وب FMC ارسال می‌کند. FMC این داده را deserialize کرده و کد مخرب در بستر اجرای سیستم با سطح دسترسی root اجرا می‌گردد.

شکل 1: جریان اجرای آسیب پذیری

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی vulnerbyte، این آسیب‌پذیری را در محیط ایزوله و کنترل‌شده با استفاده از نسخه آسیب‌پذیر Cisco FMC 7.0.0 بررسی و اجرا کرده است.
• این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و کد اکسپلویت واقعی کامل ارائه نشده است
• نتایج نشان می‌دهد که چگونه عدم اعتبارسنجی در deserialization می‌تواند منجر به اجرای کامل کد از راه دور با بالاترین سطح دسترسی شود (شکل ۲)

شکل 2: اثبات اجرای آسیب پذیری

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع

https://www.cve.org/CVERecord?id=CVE-2026-20131

https://nvd.nist.gov/vuln/detail/CVE-2026-20131

https://cwe.mitre.org/data/definitions/502.html

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh

https://www.zscaler.com/blogs/security-research/critical-remote-code-execution-vulnerability-cisco-secure-firewall

https://threatprotect.qualys.com/2026/03/05/cisco-patches-secure-firewall-management-center-software-vulnerabilities-cve-2026-20079-cve-2026-20131/

https://securityaffairs.com/189636/malware/interlock-group-exploiting-the-cisco-fmc-flaw-cve-2026-20131-36-days-before-disclosure.html

https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-max-severity-cisco-flaw-by-sunday/

https://cvefeed.io/vuln/detail/CVE-2026-20131

Cisco Secure Firewall Management Center (FMC)

CVE-2026-20131 – Unauthenticated Remote Code Execution via Insecure Java Deserialization

Affects

Cisco Secure Firewall Management Center (FMC) Software
Affected versions:
- Specific versions depend on Cisco advisory scope
Deployments where:
- The web-based management interface is enabled,
- The interface is accessible over the network (especially the public internet).

Description

CVE-2026-20131 is a critical Remote Code Execution (RCE) vulnerability in Cisco Secure Firewall Management Center (FMC) caused by insecure deserialization of user-supplied Java objects.

The vulnerability arises because the FMC web management interface does not properly validate or restrict serialized Java byte streams received from users. This allows an attacker to send specially crafted serialized objects that are deserialized and executed by the application.

Because deserialization occurs in a privileged context, a successful attack can lead to arbitrary Java code execution with root privileges on the underlying system.

This vulnerability is particularly severe due to:

lack of authentication requirements,
direct exposure via the management interface,
full system compromise potential.

Attack Vector

Primary Attack Vector:
Remote / Unauthenticated (HTTP-based – Web Management Interface)

Attack Scenario:

An attacker identifies a Cisco FMC instance with its web-based management interface exposed.
The attacker crafts a malicious serialized Java object payload.
The attacker sends the payload to the vulnerable endpoint via an HTTP request.
The FMC system deserializes the untrusted input without proper validation.
Malicious code embedded in the object is executed.
The attacker gains remote code execution with root privileges.

Key Characteristics:

No authentication required.
No user interaction required.
Exploitation occurs via standard network requests.
Relies on insecure deserialization of untrusted input.

Conditions Increasing Risk:

FMC interface exposed to the public internet.
Lack of network segmentation or access controls.
Absence of Web Application Firewall (WAF) protections.
High-privilege execution context of the service.

Impact

Successful exploitation allows an attacker to:

Execute arbitrary code as root,
Fully compromise the FMC device,
Modify firewall policies and configurations,
Disable or manipulate security controls,
Pivot to other systems within the network.

This vulnerability represents a complete system compromise risk.

Observed Exploitation & Threat Activity

No confirmed widespread exploitation reported at disclosure time.
Due to:
- unauthenticated access,
- critical impact,
- common targeting of network security appliances,
this vulnerability is considered highly likely to be exploited in real-world attacks.

Severity & Metrics

CVSS v3.1: Critical (9.8)
Attack Vector: Network
Privileges Required: None
User Interaction: None
Impact:
- Confidentiality: High
- Integrity: High
- Availability: High

Relevant CWE:

CWE-502 – Deserialization of Untrusted Data
CWE-94 – Improper Control of Code Generation
CWE-284 – Improper Access Control

Patch & Vendor Status

Cisco has released security updates addressing CVE-2026-20131.
The fix includes:
- stricter validation of serialized input,
- improved deserialization safeguards,
- potential removal or restriction of unsafe deserialization paths.

Users should apply Cisco-provided patches immediately.

Mitigation & Remediation

Immediate Actions

Apply the latest Cisco FMC security updates.
Restart affected systems after patching.
Verify that the management interface is not publicly exposed.

Temporary Compensating Controls (If Patch Is Delayed)

Restrict access to the FMC management interface via:
- firewall rules,
- VPN access only,
- IP allowlists.
Disable external access to the interface where possible.
Deploy a Web Application Firewall (WAF) to filter malicious requests.

These mitigations reduce exposure but do not eliminate the vulnerability.

Detection & Hunting

Indicators of Potential Exploitation:

Suspicious HTTP requests containing serialized Java data.
Unexpected processes or commands executed on the FMC system.
Unusual configuration changes in firewall policies.
Outbound connections from the FMC device.

Recommended Monitoring:

HTTP access logs for abnormal payloads.
System logs for unexpected execution events.
Network monitoring for anomalous traffic patterns.
EDR alerts (if available for the platform).

Post-Incident Response

If exploitation is suspected:

Immediately isolate the affected FMC device.
Preserve logs and forensic artifacts.
Identify unauthorized changes to firewall policies.
Apply patches and re-secure the system.
Rotate credentials and review access controls.
Consider full system rebuild if compromise is confirmed.

Summary Table

Category	Details
Vulnerability	Insecure deserialization leading to RCE
Component	Web-based management interface
Attack Vector	Remote, unauthenticated HTTP request
Impact	Full system compromise (root access)
Severity	Critical
Privileges Required	None
User Interaction	None

References

Cisco Security Advisory – CVE-2026-20131
NVD – CVE-2026-20131
CWE-502: Deserialization of Untrusted Data

CVE-2026-20131

Cisco Secure Firewall Management Center Software Remote Code Execution Vulnerability

Cisco Secure Firewall Management Center (FMC)

CVE-2026-20131 – Unauthenticated Remote Code Execution via Insecure Java Deserialization

Affects

Description

Attack Vector

Impact

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation

Immediate Actions

Temporary Compensating Controls (If Patch Is Delayed)

Detection & Hunting

Post-Incident Response

Summary Table

References

۶ روش سوءاستفاده از سرویس‌های هوش مصنوعی برای نفوذ به کسب‌وکارها

نگرانی‌ها درباره جمع‌آوری داده در لینکدین و نقض حریم خصوصی کاربران

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ