اخیرا در جدیدترین هشدار امنیتی در دنیای امنیت با خبر شدیم که سیسکو وجود یک آسیب‌پذیری با امتیاز کامل CVSS 10.0 را در محصول Cisco Secure Firewall Management Center (FMC) تأیید کرده است. نقصی که می‌تواند با یک حمله از راه دور و بدون نیاز به احراز هویت، کنترل کامل سیستم را در اختیار مهاجم قرار دهد. این حفره امنیتی با شناسه CVE-2025-20265  ثبت گردیده و به سرعت توجه کارشناسان امنیت شبکه را به خود جلب کرده است.

در این مقاله از سلام دیجی قصد داریم ابتدا بررسی کنیم که FMCچیست و چه نقشی در معماری امنیتی سازمان‌ها دارد. سپس به جزئیات این آسیب‌پذیری و دلایل اهمیت آن خواهیم پرداخت. در ادامه، نسخه‌های آسیب‌پذیر و شرایطی که این نقص را فعال می‌کند را معرفی می‌کنیم و در نهایت، راهکارهای پیشنهادی برای مدیران امنیت را مرور خواهیم کرد. هدف ما این است که تصویری شفاف از تهدید جدید سیسکو FMC ارائه دهیم تا متخصصان شبکه بتوانند اقدامات لازم برای حفاظت از زیرساخت‌های حیاتی خود را به موقع انجام دهند.

🔎  Cisco FMC چیست و چرا اهمیت دارد؟

Cisco Secure Firewall Management Center (FMC)  در واقع مرکز فرماندهی و کنترل فایروال‌های سیسکو است. اگر فایروال‌های Cisco Firepower را مثل سربازهای خط مقدم امنیت در نظر بگیریم، FMC نقش ژنرال و اتاق عملیات را بازی می‌کند. تمام سیاست‌های امنیتی، قوانین دسترسی و حتی نحوه‌ی بررسی ترافیک شبکه از طریق این مرکز تعریف و مدیریت می‌شود.

به زبان ساده اگر یک مدیر امنیت بخواهد قانونی برای مسدود کردن ترافیک مخرب ایجاد کند، این کار را در FMC انجام می‌دهد و یا اگر لازم باشد صدها فایروال در شعب مختلف یک سازمان به‌روزرسانی شوند، دستور از طریق FMC صادر می‌شود. حتی اگر نیاز داشته باشید که گزارش‌ها، رخدادها و هشدارهای امنیتی را یک‌جا ببینید، FMC  همان جایی است که باید به آن سر بزنید.

📌  چرا هک شدن FMC فاجعه است؟

چون FMC به همه‌چیز دسترسی دارد. اگر مهاجم کنترل این مرکز را به دست بگیرد، می‌تواند:

✔️ سیاست‌های امنیتی را تغییر دهد یا غیرفعال کند،

✔️ قوانین فایروال را حذف یا دستکاری کند،

✔️ مسیر ترافیک شبکه را تغییر دهد و حتی در داده‌های حیاتی دستکاری کند.

به بیان دیگر، اگر یک فایروال به تنهایی هک شود، تنها یک بخش از شبکه در خطر قرار می‌گیرد. اما اگر FMC  هک شود، کل زیرساخت امنیتی سازمان در معرض تهدید است.

⚠️ محل دقیق آسیب‌پذیری

این نقص امنیتی در ماژول RADIUS subsystem  کشف شده است. این بخش مسئول انجام احراز هویت برای دسترسی به کنسول مدیریتی (چه تحت وب و چه از طریق SSH) است.

اگر RADIUS فعال باشد، مهاجم می‌تواند با سوءاستفاده از این حفره، بدون داشتن هیچ نام کاربری یا رمز عبوری، مستقیماً وارد سیستم شود و دستورات سطح بالا(root/admin) را اجرا کند اما اگر RADIUS غیرفعال باشد، این نقص تأثیری ندارد.

⚠️ ابعاد فنی آسیب‌پذیری CVE-2025-20265

✔️ نوع حمله:  Remote Code Execution (RCE) بدون احراز هویت

✔️ محصولات آسیب‌پذیر:  Cisco FMC نسخه‌های 7.0.7 و 7.7.0

✔️ شرط فعال بودن: فعال بودن احراز هویت RADIUS

✔️ شدت:  CVSS 10.0 و بالاترین سطح خطر

✔️ واکنش سیسکو: ارائه پچ امنیتی و عدم وجود هیچ راهکار موقت (Workaround)

🔑 چرا لازم است که سریعا واکنش نشان دهیم؟

امتیاز 10 از 10 در CVSS به معنای بالاترین سطح هشدار است. چنین نقصی:

1. بدون نیاز به دسترسی قبلی یا اعتبارنامه‌های کاربری قابل بهره‌برداری است.
2. به مهاجم اجازه می‌دهد کدهای مخرب را با سطح دسترسی مدیریتی (root/admin) اجرا کند.
3. می‌تواند باعث از دست رفتن کامل کنترل زیرساخت امنیتی شود.
4. از آنجا که FMC اغلب چندین فایروال را مدیریت می‌کند، یک نفوذ می‌تواند زنجیره‌ای همه تجهیزات را آلوده کند.

🛡 اقدامات پیشنهادی برای مدیران امنیت

حالا که با نقش حیاتی Cisco FMC در زیرساخت امنیتی سازمان آشنا شدیم و می‌دانیم چرا آسیب‌پذیری جدید می‌تواند کل شبکه را به خطر بیندازد، وقت آن است که به بخش مهم ماجرا بپردازیم:  چه باید کرد؟

برای کاهش ریسک و جلوگیری از سوءاستفاده مهاجمان، مدیران امنیت باید بلافاصله اقدامات زیر را در دستور کار قرار دهند:

✔️ بررسی نسخه FMC : اگر نسخه شما 7.0.7 یا 7.7.0 است، در معرض خطر هستید.

✔️ بررسی تنظیمات RADIUS : اگر RADIUS برای مدیریت تحت وب یا SSH فعال است، فوراً پچ سیسکو را نصب کنید.

✔️ در صورت عدم امکان به‌روزرسانی فوری: RADIUS را موقتاً غیرفعال کنید تا سطح حمله کاهش یابد.

✔️ بررسی لاگ‌ها: به دنبال لاگ‌های دسترسی مشکوک یا غیرمنتظره باشید.

✔️ به‌روزرسانی سریع

📌  درس‌هایی که از این آسیب پذیری می گیریم

این حادثه بار دیگر یادآور می‌شود که سیستم‌های مدیریتی، به دلیل دسترسی گسترده، اهداف جذابی برای مهاجمان هستند. همچنین فعال بودن سرویس‌ها و پروتکل‌های غیرضروری (مانند RADIUS در برخی سناریوها) می‌تواند سطح حمله را افزایش دهد. در آخر اینکه به‌روزرسانی سریع و پایش مداوم لاگ‌ها، کلید پیشگیری از نفوذهای گسترده است.