Взрыв RADIUS — новый баг в инфраструктуре Cisco открывает root-доступ удалённо

CVE-2025-20265 уязвимость Cisco баг брешь пароль RADIUS
Взрыв RADIUS — новый баг в инфраструктуре Cisco открывает root-доступ удалённо
CVE-2025-20265 уязвимость Cisco баг брешь пароль RADIUS

Атакующему достаточно одного запроса, чтобы захватить всё.

image

Cisco опубликовала предупреждение о критической уязвимости в подсистеме RADIUS программного обеспечения Secure Firewall Management Center. Дефект получил идентификатор CVE-2025-20265 и максимальный балл по шкале CVSS — 10 из 10. Ошибка позволяет удалённому атакующему без учётной записи отправить специально подготовленный ввод на этапе проверки логина и пароля и добиться выполнения произвольных команд в оболочке с правами администратора. Проблема связана с некорректной обработкой данных пользователя в фазе аутентификации.

Secure Firewall Management Center служит центральной точкой управления межсетевыми экранами Cisco: через веб-интерфейс или по SSH администраторы конфигурируют устройства, следят за их состоянием и развёртывают обновления. Поддержка RADIUS используется как внешний метод авторизации и особенно востребована в корпоративных и государственных сетях, где важна централизованная система входа и учёта действий. Именно в этой конфигурации возникает риск эксплуатации.

Затронуты версии FMC 7.0.7 и 7.7.0 при включённой проверке через RADIUS — как для веб-доступа, так и для управления по SSH. Ошибка была обнаружена внутренним исследователем Cisco Брендоном Сакаем. По состоянию на момент публикации информации о реальной эксплуатации в атаках нет.

Для устранения проблемы компания выпустила бесплатные обновления, доступные клиентам по стандартным каналам при наличии активного сервисного контракта. Если обновление временно невозможно, Cisco рекомендует отключить RADIUS и использовать другие способы проверки — локальные учётные записи, внешний LDAP или единый вход по SAML. Такой обходной путь протестирован, но администраторы должны самостоятельно убедиться в его применимости и отсутствии критичных побочных эффектов.

Параллельно с этим Cisco закрыла ещё 13 уязвимостей высокой степени опасности в разных продуктах. Среди них отказ в обслуживании в Snort 3 (CVE-2025-20217), сбой при обработке IPv6 поверх IPsec на устройствах Firepower 2100 (CVE-2025-20222), внедрение HTML в веб-интерфейсе FMC (CVE-2025-20148), перегрузка веб-сервера VPN для удалённого доступа (CVE-2025-20244), проблемы в SSL VPN (CVE-2025-20133 и CVE-2025-20243), ошибки при обработке SSL/TLS-сертификатов (CVE-2025-20134), сбой в NAT DNS inspection (CVE-2025-20136), уязвимость веб-сервера VPN (CVE-2025-20251), проблемы в IKEv2 для IOS, IOS XE, ASA и Threat Defense (CVE-2025-20224 и CVE-2025-20225), перегрузка веб-служб (CVE-2025-20263), а также отказ в обслуживании из-за шифра TLS 1.3 на Firepower 3100/4200 (CVE-2025-20127).

Для большинства проблем обходных решений не существует, за исключением CVE-2025-20127, где Cisco рекомендует исключить использование TLS 1.3 cipher, вызывающего сбой. Для всех остальных случаев совет один — установить последние обновления.