-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.01 ############################# Titel : Kwetsbaarheden verholpen in Cisco Secure Firewall Management Center Advisory ID : NCSC-2026-0076 Versie : 1.01 Kans : high CVE ID : CVE-2026-20079, CVE-2026-20131 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Authentication Bypass Using an Alternate Path or Channel Deserialization of Untrusted Data Uitgiftedatum : 20260319 Toepassing : Cisco Cisco Secure Firewall Management Center (FMC) Cisco Cisco Secure Firewall Management Center (FMC) Appliances Versie(s) : Platform(s) : Update Uit onderzoek van Amazon threat intelligence blijkt dat CVE-2026-20131 vermoedelijk al sinds 26 januari actief is misbruikt voor het uitrollen van Interlock ransomware. Beschrijving De kwetsbaarheid met kenmerk CVE-2026-20079 bevindt zich in de webinterface van Cisco Secure Firewall Management Center. Een ongeauthenticeerde externe kwaadwillende kan de authenticatiecontroles omzeilen door een onjuist systeemproces dat bij het opstarten is aangemaakt te misbruiken. De kwaadwillende kan deze kwetsbaarheid misbruiken door speciaal geprepareerde HTTP- verzoeken naar een getroffen apparaat te sturen. Een succesvolle exploit kan de aanvaller in staat stellen verschillende scripts en commando’s uit te voeren die root-toegang tot het apparaat mogelijk maken. De kwetsbaarheid met kenmerk CVE-2026-20131 bevindt zich in de webinterface van Cisco Secure Firewall Management Center. Deze kwetsbaarheid stelt ongeauthenticeerde externe kwaadwillende in staat om willekeurige Java-code uit te voeren met root-rechten. De kwetsbaarheid wordt veroorzaakt door de onveilige deserialisatie van door de gebruiker aangeleverde Java-byte-stromen. Een kwaadwillende kan deze kwetsbaarheid misbruiken door een speciaal geprepareerd, geserialiseerd Java-object naar de webgebaseerde beheerinterface van een getroffen apparaat te sturen. Een succesvolle exploit kan de aanvaller in staat stellen om willekeurige code op het apparaat uit te voeren en de rechten te verhogen tot root-niveau. Als de beheerinterface van Cisco Secure Firewall Management Center geen publieke internettoegang heeft, wordt het aanvalsoppervlak verkleind. Het is niet gebruikelijk om een managementinterface direct publiekelijk aan het internet bloot te stellen. Indien jouw organisatie gebruikmaakt van Cisco Security Cloud Control Firewall Management, dan betreft dit een SaaS-dienst (Software-as-a- Service) die door Cisco Systems automatisch wordt bijgewerkt als onderdeel van regulier onderhoud. Er is in dat geval geen actie van de gebruiker vereist. Het NCSC verwacht op korte termijn een publieke PoC en grootschalige pogingen tot misbruik. Het NCSC adviseert met klem de update zo spoedig mogelijk te installeren. Update 19-03-26: Uit onderzoek van Amazon threat intelligence blijkt dat CVE-2026-20131 vermoedelijk al sinds 26 januari actief is misbruikt voor het uitrollen van Interlock ransomware. Daarnaast is er inmiddels een publieke PoC verschenen voor kwetsbaarheid CVE-2026-20079. Het is daarom van groot belang om - indien dit nog niet gedaan is - te updaten naar de nieuwste versie van Cisco Secure Firewall Management Center. Mogelijke oplossingen Cisco heeft updates uitgebracht om de kwetsbaarheden te verhelpen. In een blog van Amazon worden onder andere IoC's en detectiemaatregelen gegeven om (pogingen tot) compromittatie op te sporen. Ook als de updates al snel na bekendmaking geinstalleerd waren is het raadzaam om met behulp van de informatie uit het Amazon blog tot 26 januari terug te kijken op zoek naar verdacht netwerkverkeer en afwijkende handelingen op het systeem. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://aws.amazon.com/de/blogs/security/amazon-threat- intelligence-teams-identify-interlock-ransomware-campaign- targeting-enterprise-firewalls/ Reference https://sec.cloudapps.cisco.com/security/center/content/CiscoSecur ityAdvisory/cisco-sa-fmc-rce-NKhnULJh Reference https://sec.cloudapps.cisco.com/security/center/content/CiscoSecur ityAdvisory/cisco-sa-onprem-fmc-authbypass-5JPp45V2 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmm74pEACgkQgupWoL0Z hGGVYAwAwvrIP+VRfHYFID2o/z5xSw4TKiXveWDCb+l8zGxVxoTcBlrzQ7VUoElA aBqZnmuw6tHed/d+/vRx/EHAoP2XP2DqOtUueT/urnuTBFhAGBxBeP8VoXflzdyp mEB3fg3BwLZxcPRufRQb3tmZ/weNQF//XAwX8LmThasSfOLo6HWfmoLS4AJCflVM nnIImtrfWc73L8JbmBrKEHnbr+LdNeffVtSkVQZiSQZK4ga7AZabhc3KZ3d2Xm7d LvQ5MEz+JX7CWld7R7FEV/CbhEvfKh3JU/sIyZwT5RQwcG1wKhchC+SB76Y7Ya6A A8oRCbpEBYiqXHen5NviniXvD0xIbjpJiZQobCsEzvr75N6g8miYbVRsPj+abi4h IZidqER4xW+VA/DO5RsNeXLHOIRA9gmsAa34GxoEhdvy++qoRCO0V5GJ8xe0izFq 9nTqQdFoeZgB90Y+Q2mxgWmY4qnjMhchgs7uV1nsm7JvrowV9std1KQ671pmNgmy VNgHt516 =q3Kl -----END PGP SIGNATURE-----