Cisco hat 48 Sicherheitslücken in seinen Firewall-Produkten offengelegt, darunter zwei kritische Schwachstellen in der Secure Firewall Management Center (FMC), die Remote-Codeausführung ermöglichen.
Cisco informiert über ein größeres Sicherheits-Update für sein Firewall-Portfolio. Insgesamt 48 Schwachstellen wurden in dieser Woche bekannt gegeben – ein Vorgang, der bei den betroffenen Produkten halbjährlich wiederkehrt. Allerdings stechen zwei dieser Lücken durch ihre kritische Natur heraus.
Die Schwachstellen verteilen sich auf drei zentrale Cisco-Produkte: das Adaptive Security Appliance (ASA), die Secure FTD (Firewall Threat Defense) sowie das Secure Firewall Management Center (FMC), das als zentrale Verwaltungslösung fungiert. Für alle Lücken stehen Patches bereit. Das niederländische Cyber Security Center (NCSC-NL) warnte am 4. März bereits vor bevorstehenden Missbrauchsversuchen und Proof-of-Concept-Exploits.
Die beiden kritischsten Schwachstellen treffen das FMC-System. CVE-2026-20079 entsteht durch einen fehlerhaften Systemprozess, der bei jedem Boot startet. Damit können Angreifer mittels manipulierter HTTP-Anfragen die Authentifizierung umgehen und Root-Zugriff auf das Betriebssystem erlangen. CVE-2026-20131 ist eine unsichere Deserialisierungslücke: Ein böse gesinnter Akteur kann ein speziell präpariertes Java-Objekt an die Webschnittstelle senden und dadurch beliebigen Code ausführen sowie Privilegien erweitern.
Beiden Lücken wurde der höchstmögliche CVSS-Wert von 10,0 zugewiesen. Damit reihen sie sich in die Liste der kritischsten Cisco-Schwachstellen ein – vergleichbar mit der vor kurzem bekannt gewordenen SD-WAN-Controller-Lücke CVE-2026-20127, die bereits aktiv ausgebeutet wird.
Wie bedeutsam diese Lücken sind, wird bei der Betrachtung der FMC-Rolle deutlich. Das System fungiert als “Nervenzentrum” des Firewall- und Bedrohungsmanagements. Eine Kompromittierung könnte es Angreifern ermöglichen, Firewallregeln zu manipulieren, Inspektionskontrollen zu deaktivieren oder böswillige Konfigurationen auf mehrere Geräte gleichzeitig zu verteilen – mit verheerenden Folgen für die Netzwerksicherheit.
Der Grund für dieses Szenario liegt darin, dass Edge-Geräte wie Firewalls sich als ideale Einstiegspunkte erwiesen haben. Eine einzelne Kompromittierung der Verwaltungsebene bringt Angreifern mehr Nutzen als hundert umgangssprachlich “gehackte” Endgeräte. Besonders Nation-States – allem voran Gruppen aus China – haben diese Angriffsvektoren seit 2024 intensiv genutzt.
Der Trend verstärkt sich kontinuierlich. Die Verizon Data Breach Investigations Report 2025 verzeichnet ein fast achtfaches Anstieg bei Zero-Day-Exploits auf Edge-Geräten 2024 im Vergleich zu 2023. Auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat reagiert und mit der Direktive BOD 26-02 (Februar) federale Behörden angewiesen, alle unsupported Firewalls, Router und VPN-Gateways innerhalb von 18 Monaten außer Betrieb zu nehmen.
Viele Organisationen hinken dieser Entwicklung hinterher. Ihre Sicherheitsinfrastrukturen konzentrieren sich auf Endpoint-Agenten und SIEM-Korrelation – Edge-Geräte liegen außerhalb dieses Schutzes, generieren eigene Logs und laufen mit undurchsichtiger Firmware, die kaum von Third-Party-Tools analysiert werden kann. Dies ist ein strukturelles Problem, das langfristig gelöst werden muss.
Sicherheitsexperten empfehlen Organisationen dringend, den Cisco Software Checker gegen betroffene Geräte einzusetzen und parallel das gesamte Edge-Netzwerk auf verwundbare Systeme zu überprüfen. Eine ungepatchte Firewall ist sprichwörtlich eine offene Tür mit Willkommensmatte.
Quelle: Dark Reading