思科發布緊急補丁修復防火墻關鍵漏洞

思科為安全團隊帶來了有史以來最大的防火墻產品補丁工作量之一，包括修復公司安全防火墻管理中心（FMC）軟件中的兩個"滿分10分"漏洞。

總體而言，3月4日發布的補丁是2026年首個半年度防火墻更新，解決了25個安全公告，涵蓋48個獨立的CVE漏洞。

最大的擔憂將是FMC缺陷CVE-2026-20079和CVE-2026-20131，第一個是身份驗證繞過弱點，第二個涉及不安全的反序列化。兩者都被評為"關鍵"級別，CVSS評分均為滿分10分。

這些弱點與平臺的網絡管理接口有關，可提供未經身份驗證的root訪問權限。這將使它們成為使用逆向工程工具揭示底層缺陷工作原理的攻擊者的重要目標。

這種情況還沒有發生——兩者都沒有被報告為正在被利用——但毫無疑問，如果攻擊者能夠做到，他們會迅速抓住這些漏洞。

思科對CVE-2026-20079表示："攻擊者可以通過向受影響的設備發送精心制作的HTTP請求來利用此漏洞。成功的利用可能允許攻擊者執行各種腳本和命令，從而獲得對設備的root訪問權限。"

CVE-2026-20131的描述如下："攻擊者可以通過向受影響設備的基于網絡的管理界面發送精心制作的序列化Java對象來利用此漏洞。成功的利用可能允許攻擊者在設備上執行任意代碼并將權限提升至root。"

思科表示，這兩個漏洞都沒有變通方法。然而，對于CVE-2026-20131，它指出："如果FMC管理界面無法訪問公共互聯網，則與此漏洞相關的攻擊面會減少。"

簡而言之，如果他們現在無法打補丁，管理員應確保FMC在打補丁之前不會暴露。

在其余缺陷中，還有六個被評為"高"級別，CVSS評分在7.2到8.6之間。其中包括防火墻管理中心SQL注入漏洞CVE-2026-20001、CVE-2026-20002和CVE-2026-20003，所有這些都可被經過身份驗證的攻擊者遠程利用。同樣，沒有可能的變通方法。

CVE-2026-20039，評級為8.6（"關鍵"），是影響思科安全防火墻自適應安全設備（ASA）軟件和思科安全防火墻威脅防御（FTD）軟件中VPN網絡服務器的缺陷，可能允許未經身份驗證的攻擊者誘發拒絕服務狀態。

此外，CVE-2026-20082，也被評為8.6分，可能允許未經身份驗證的攻擊者在思科安全防火墻自適應安全設備（ASA）軟件中導致傳入的TCP SYN數據包被錯誤丟棄。

修復3月更新中解決的缺陷的程序因安裝的軟件版本而異。思科建議使用其軟件檢查器來確定適當的更新。或者，管理員可以查閱思科安全防火墻威脅防御兼容性指南中的表格。

關鍵級別缺陷和零日漏洞在過去幾年中已成為思科補丁輪次中的常規現象，現在幾乎被視為"零日事件"本身。

安全團隊會想起去年9月的緊急補丁，該補丁解決了影響思科安全防火墻自適應安全設備（ASA）VPN和思科安全防火墻威脅防御（FTD）軟件的類似網絡服務缺陷。

其中，CVE-2025-20333和CVE-2025-20362正在遭受零日利用，而第三個CVE-2025-20363被認為面臨即將到來的威脅。這些攻擊足夠嚴重，思科發布了"事件響應"公告，提供了有關報告的利用和妥協指標的更多詳細信息。

Q&A

Q1：CVE-2026-20079和CVE-2026-20131這兩個漏洞有什么危害？

A：這兩個漏洞都被評為"關鍵"級別，CVSS評分均為滿分10分。CVE-2026-20079是身份驗證繞過弱點，CVE-2026-20131涉及不安全的反序列化。兩者都與平臺的網絡管理接口相關，可提供未經身份驗證的root訪問權限，使攻擊者能夠完全控制設備。

Q2：思科安全防火墻管理中心用戶應該如何應對這次漏洞？

A：思科表示這些漏洞沒有變通方法，必須立即打補丁。如果無法立即打補丁，管理員應確保FMC管理界面無法訪問公共互聯網，以減少攻擊面。建議使用思科軟件檢查器確定適當的更新版本。

Q3：這次思科補丁更新總共修復了多少個安全漏洞？

A：這次3月4日的補丁更新是2026年首個半年度防火墻更新，總共解決了25個安全公告，涵蓋48個獨立的CVE漏洞。除了兩個滿分10分的關鍵漏洞外，還有6個被評為"高"級別的漏洞，CVSS評分在7.2到8.6之間。