Twee ernstige kwetsbaarheden raken de webinterface van Cisco Secure Firewall Management Center. Beide kunnen op afstand worden misbruikt zonder inloggegevens.

CVE-2026-20079
– Oorzaak: een foutief systeemproces dat tijdens het opstarten wordt aangemaakt.
– Aanval: een aanvaller stuurt speciaal geprepareerde HTTP-verzoeken naar het kwetsbare apparaat en omzeilt zo de inlogcontroles.
– Gevolg: bij succes kan de aanvaller scripts en commando’s uitvoeren met root-rechten.

CVE-2026-20131
– Oorzaak: onveilige deserialisatie van door de gebruiker aangeleverde Java-bytestromen in de webinterface.
– Aanval: een speciaal geprepareerd, geserialiseerd Java-object wordt naar de beheerinterface gestuurd.
– Gevolg: willekeurige Java-code draait met root-rechten; privileges kunnen worden verhoogd tot root-niveau.

Beperk het risico
– Staat de beheerinterface niet open op het publieke internet, dan is het aanvalsoppervlak kleiner. Het is sowieso ongebruikelijk (en af te raden) om een managementinterface direct publiek bloot te stellen.

SaaS-variant
– Maak je gebruik van Cisco Security Cloud Control Firewall Management? Dit is een SaaS-dienst die Cisco automatisch bijwerkt als onderdeel van regulier onderhoud. Er is dan geen actie nodig.

Advies NCSC
– Het NCSC verwacht op korte termijn een publieke proof-of-concept en grootschalige misbruikpogingen. Installeer de beschikbare update zo snel mogelijk.

Update 19-03-26
– Onderzoek van Amazon threat intelligence wijst erop dat CVE-2026-20131 vermoedelijk al sinds 26 januari wordt misbruikt voor het uitrollen van Interlock-ransomware.
– Voor CVE-2026-20079 is inmiddels een publieke proof-of-concept verschenen.
– Update daarom direct naar de nieuwste versie van Cisco Secure Firewall Management Center, als dat nog niet is gebeurd.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.