A Cisco está alertando sobre uma vulnerabilidade crítica de execução remota de código (RCE) no subsistema RADIUS de seu software Secure Firewall Management Center (FMC).
O Cisco FCM é uma plataforma de gerenciamento para os produtos Secure Firewall do fornecedor, que fornece uma interface centralizada baseada na Web ou em SSH para permitir que os administradores configurem, monitorem e atualizem os firewalls da Cisco.
O RADIUS no FMC é um método de autenticação externa opcional que permite a conexão com um servidor de serviço de usuário de discagem de autenticação remota em vez de contas locais.
Essa configuração é comumente usada em redes corporativas e governamentais em que os administradores desejam controle de login centralizado e contabilização do acesso ao dispositivo de rede.
A vulnerabilidade divulgada recentemente é rastreada como CVE-2025-20265 e recebeu a pontuação máxima de gravidade de 10 em 10.
Ele pode ser explorado para permitir que um invasor remoto não autenticado envie uma entrada especialmente criada ao inserir credenciais durante a etapa de autenticação RADIUS.
Um adversário poderia, portanto, alcançar a execução arbitrária de comandos shell com privilégios elevados.
“Uma vulnerabilidade na implementação do subsistema RADIUS do software Cisco Secure Firewall Management Center (FMC) pode permitir que um invasor remoto não autenticado injete comandos shell arbitrários executados pelo dispositivo”, avisa a Cisco no boletim de segurança.
“Essa vulnerabilidade se deve à falta de tratamento adequado da entrada do usuário durante a fase de autenticação”, diz o fornecedor. O CVE-2025-20265 afeta as versões 7.0.7 e 7.7.0 do FMC quando a autenticação RADIUS está habilitada para a interface de gerenciamento baseada na Web, gerenciamento SSH ou ambos.
A Cisco lançou atualizações de software gratuitas que resolvem o problema. A correção foi lançada por meio de canais regulares para clientes com um contrato de serviço válido.
Se o patch não puder ser instalado, a mitigação recomendada pela Cisco é desabilitar a autenticação RADIUS e substituí-la por um método diferente (por exemplo, contas de usuário locais, LDAP externo ou logon único SAML).
A Cisco observa que essa mitigação funcionou nos testes, mas os clientes devem verificar sua aplicabilidade e o impacto que ela tem em seus ambientes.
A vulnerabilidade foi descoberta internamente pelo pesquisador de segurança da Cisco, Brandon Sakai, e o fornecedor não está ciente da vulnerabilidade que está sendo explorada na natureza.
Junto com o CVE-2025-20265, a Cisco também lançou correções para 13 falhas de alta gravidade em vários produtos, nenhuma delas marcada como explorada ativamente:
- CVE-2025-20217 – Secure Firewall Threat Defense Snort 3 negação de serviço.
- CVE-2025-20222 – ASA e Secure FTD (Firepower 2100) IPv6 sobre negação de serviço IPsec.
- CVE-2025-20148 – Injeção de HTML do Secure Firewall Management Center.
- CVE-2025-20244 – Negação de serviço do servidor web VPN de acesso remoto ASA & Secure FTD.
- CVE-2025-20133, CVE-2025-20243 – Negação de serviço ASA & Secure FTD Remote Access SSL VPN.
- CVE-2025-20134 – Negação de serviço do certificado ASA & Secure FTD SSL/TLS.
- CVE-2025-20136 – Negação de serviço de inspeção de DNS NAT ASA & Secure FTD.
- CVE-2025-20251 – Negação de serviço do servidor web ASA & Secure FTD VPN.
- CVE-2025-20224, CVE-2025-20225 – IOS, IOS XE, ASA e Secure FTD IKEv2 negação de serviço.
- CVE-2025-20263 – Negação de serviço dos serviços web ASA & Secure FTD.
- CVE-2025-20127 – Negação de serviço de cifra ASA & Secure FTD (Firepower 3100/4200) TLS 1.3.
O fornecedor diz que não há soluções alternativas para nenhum dos problemas de segurança acima, exceto para CVE-2025-20127, onde a recomendação é remover a cifra TLS 1.3.
Para todos os outros problemas, o fornecedor recomenda instalar as atualizações mais recentes disponíveis.
