CVE-2026-20131 In Ransomware-Kampagnen genutzt

Secure Firewall Management Center (FMC)

Hersteller: Cisco

10 CRITICAL CVSS Basis-Score

Beschreibung

Die Schwachstelle steckt in der web-basierten Verwaltungsoberfläche von Cisco Secure Firewall Management Center (FMC), der zentralen Software zur Verwaltung von Cisco-Firewalls, sowie in der Firewall-Verwaltung von Cisco Security Cloud Control (SCC). Ursache ist eine unsichere Deserialisierung: Die Oberfläche verarbeitet einen vom Benutzer gelieferten Java-Byte-Strom, ohne dessen Inhalt ausreichend zu prüfen. Ein Angreifer kann ein präpariertes serialisiertes Java-Objekt an die Verwaltungsoberfläche senden und auf diese Weise eigenen Java-Code einschleusen. Der Angriff gelingt aus der Ferne und ohne vorherige Anmeldung. Bei erfolgreicher Ausnutzung wird der Code mit Root-Rechten ausgeführt, sodass der Angreifer die höchsten Systemrechte erlangt und das betroffene Gerät vollständig übernehmen kann. Da FMC die zentrale Steuerung der Firewall-Infrastruktur darstellt, wiegt eine Übernahme besonders schwer. Ist die Verwaltungsoberfläche nicht aus dem Internet erreichbar, verringert sich die Angriffsfläche.

Empfohlene Maßnahmen

Setzen Sie die vom Hersteller beschriebenen Gegenmaßnahmen um. Stehen keine Gegenmaßnahmen zur Verfügung, sollte der Einsatz des betroffenen Produkts eingestellt werden.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln

Artikel Cisco patcht kritische Webex-Lücke – Kunden mit SSO müssen selbst aktiv werden 16.04.2026
Artikel Cisco IMC: Kritischer Authentifizierungs-Bypass verschafft Angreifern Admin-Rechte 02.04.2026
Artikel CISA setzt Notfrist: Maximalkritische Cisco-Lücke in Firewall-Management bis Sonntag patchen 20.03.2026
Artikel Interlock-Ransomware nutzt kritische Zero-Day-Lücke in Cisco-Firewalls aus 20.03.2026
Artikel Interlock-Bande nutzte Zero-Day in Cisco-Firewalls Wochen vor der Offenlegung aus 19.03.2026
Artikel CISA warnt vor aktiver Ausnutzung von Zimbra- und SharePoint-Lücken, Cisco-Zero-Day in Ransomware-Angriffen 19.03.2026
Artikel Cisco-Firewall-Lücke als Zero-Day in Interlock-Ransomware-Angriffen ausgenutzt 19.03.2026
Artikel Interlock-Ransomware nutzte Zero-Day in Cisco Secure Firewall Management Center aus 19.03.2026
Artikel Interlock-Bande nutzte Cisco-Schwachstelle seit Januar als Zero-Day aus 19.03.2026
Artikel Cisco bestätigt aktive Ausnutzung zweier Lücken in Catalyst SD-WAN Manager 05.03.2026
Artikel Cisco patcht zwei kritische Lücken in Secure FMC mit Root-Zugriff 05.03.2026
Artikel Cisco: Zwei weitere SD-WAN-Manager-Schwachstellen werden aktiv ausgenutzt 05.03.2026
Artikel Cisco schließt zwei kritische Lücken mit Höchstwertung in Secure FMC 05.03.2026
Artikel Cisco meldet 48 Firewall-Schwachstellen, zwei davon mit Höchstwertung 10,0 05.03.2026

Kennzahlen

Schweregrad CRITICAL · CVSS 10

Betroffen 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.4.0.17, 6.4.0.18, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.0.6.1, 7.0.6.2, 7.0.6.3, 7.0.7, 7.0.8, 7.0.8.1, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.3.1, 7.2.4, 7.2.4.1, 7.2.5, 7.2.5.1, 7.2.5.2, 7.2.6, 7.2.7, 7.2.8, 7.2.8.1, 7.2.9, 7.2.10, 7.2.10.1, 7.2.10.2, 7.3.0, 7.3.1, 7.3.1.1, 7.3.1.2, 7.4.0, 7.4.1, 7.4.1.1, 7.4.2, 7.4.2.1, 7.4.2.2, 7.4.2.3, 7.4.2.4, 7.4.3, 7.4.4, 7.4.5, 7.6.0, 7.6.1, 7.6.2, 7.6.2.1, 7.6.3, 7.6.4, 7.7.0, 7.7.10, 7.7.10.1, 7.7.11, 10.0.0

Behoben in Siehe Hersteller-Advisory

Schwachstellentyp CWE-502

CISA-Katalog 2026-03-19

Patch-Frist 2026-03-22

Veröffentlicht 19.03.2026

Quelle: NVD / CISA KEV. Automatisch übersetzt.