بهتازگی شرکت سیسکو یک آسیبپذیری بسیار خطرناک در بخش مدیریت مرکزی فایروال خود با نام Secure Firewall Management Center (FMC) را شناسایی و وصله امنیتی مربوطه را منتشر کرده است. این نقص امنیتی که تحت شناسه CVE-2025-20265 قرار دارد، با امتیاز بحرانی ۱۰/۱۰ در سیستم امتیازدهی CVSS رتبهبندی شده است. این آسیبپذیری به مهاجم اجازه میدهد بدون احراز هویت، از راه دور دستورات دلخواه سیستمعامل را بر روی دستگاههای هدف اجرا کند.
در قلب این مشکل، ضعف در زیرسیستم احراز هویت RADIUS سیستم مدیریت FMC قرار دارد که در هنگام ورود کاربران، دادههای ورودی بهدرستی بررسی نمیشوند. چنانچه FMC برای مدیریت از طریق رابط وب یا SSH بهوسیله RADIUS پیکربندی شده باشد، این امکان فراهم میشود که مهاجم با ارسال ورودیهای دستکاریشده، دسترسی با سطح امتیازات بالا به سیستم پیدا کند.
FMC بهعنوان یک پلتفرم مرکزی، برای کنترل و نظارت بر انواع راهحلهای امنیتی سیسکو نظیر فایروالها، سیستمهای پیشگیری نفوذ، فیلترهای URL و ابزارهای ضدبدافزار استفاده میشود. این پلتفرم در شبکههای سازمانی بزرگ، مراکز آموزشی، شرکتهای ارائهدهنده خدمات مدیریت شده و سازمانهای دولتی کاربرد فراوان دارد.
اقدام ضروری: نصب وصله و جایگزینی موقت
مشکل اصلی در این آسیبپذیری این است که RADIUS برای سازمانهایی که تمایل دارند احراز هویت کاربران را بهصورت متمرکز انجام دهند، محبوبیت زیادی دارد. بهویژه در محیطهایی که کنترل دسترسی دقیق و ثبت گزارشهای امنیتی اهمیت دارد، از RADIUS برای ورود به FMC استفاده میشود. بنابراین، وسعت حمله بالقوه به این آسیبپذیری بسیار زیاد است، چراکه بسیاری از شبکههای حساس از این شیوه احراز هویت بهره میبرند.
سیسکو وصله امنیتی اصلاح این نقص را منتشر کرده و استفادهکنندگان را بهسرعت به بهروزرسانی FMC ترغیب کرده است. برای آن دسته از سازمانهایی که قادر به نصب فوری این وصله نیستند، بهعنوان راهکار موقت توصیه شده است تا RADIUS را غیرفعال کرده و به جای آن از روشهای جایگزین مانند حسابهای محلی (Local Users) یا LDAP استفاده نمایند. این روشهای جایگزین در تستهای اولیه موثر بودهاند، اما سیسکو تاکید کرده که کاربران باید در محیط عملیاتی خود نیز عملکرد آنها را ارزیابی کنند.
اگرچه تاکنون گزارشی از سوءاستفاده فعال از این آسیبپذیری مشاهده نشده، اما کارشناسان هشدار میدهند که تهدیدهای احتمالی بسیار نزدیکاند. با توجه به سابقه گروههای تهدید دولتمحور—بهویژه گروههایی که دستگاههای شبکهای مانند FMC را هدف قرار میدهند—زمان اقدام فرا رسیده است و به توسعهدهندگان توصیه میشود هرچه سریعتر سیستمهای خود را اصلاح کنند.
یک تابستان پر از نقصهای بحرانی در محصولات سیسکو
این نقص امنیتی جدید، تنها یکی از چند آسیبپذیری با امتیاز کامل در محصولات سیسکو در تابستان سال ۲۰۲۵ بوده است. پیشتر در ماه جولای، آسیبپذیریهای بحرانی دیگری در نرمافزار Identity Services Engine (ISE) و ISE Passive Identity Connector (ISE-PIC) با شناسههایی همچون CVE-2025-20337 که امکان اجرای کد با دسترسی root را فراهم میکرد نیز شناسایی و رفع شده بودند.
