Cisco: Kritische Lücken in Firewall-Management-Software entdeckt

Zwei Schwachstellen mit höchster Gefahrenstufe ermöglichen Angreifern komplette Systemübernahme – Unternehmen müssen sofort handeln.

Cisco warnt vor zwei kritischen Sicherheitslücken in seiner zentralen Verwaltungssoftware für Firewalls. Die Schwachstellen mit der maximalen Bewertung von 10.0 auf der CVSS-Skala ermöglichen es Angreifern, unerkannt Root-Zugriff auf betroffene Systeme zu erlangen. Betroffen ist das Cisco Secure Firewall Management Center (FMC), die Schaltzentrale für die Konfiguration und Überwachung ganzer Firewall-Netzwerke in Unternehmen. Eine Kompromittierung würde Angreifern die Kontrolle über die gesamte Netzwerksicherheit geben.

Während kritische Sicherheitslücken wie bei Cisco sofortiges Handeln erfordern, zeigt dieser Experten-Report, wie mittelständische Unternehmen ihre gesamte IT-Strategie proaktiv gegen Cyberkriminelle wappnen können. Effektive Sicherheits-Strategien ohne Budget-Explosion entdecken

Was die Angriffe ermöglicht

Die beiden Sicherheitslücken, CVE-2026-20079 und CVE-2026-20131, bedrohen die webbasierte Management-Oberfläche des FMC. Sie gelten als besonders gefährlich, weil Angreifer weder eine Authentifizierung noch spezielle Zugriffsrechte oder Benutzerinteraktion benötigen.

Die erste Lücke (CVE-2026-20079) ist ein Authentifizierungs-Umgehungsfehler. Sie entsteht durch einen unsicheren Systemprozess während des Boot-Vorgangs. Angreifer können speziell präparierte HTTP-Anfragen senden, um die Standard-Login-Mechanismen zu umgehen. Im Erfolgsfall erhalten sie root-Zugriff auf das Betriebssystem.

Die zweite Lücke (CVE-2026-20131) betrifft die unsichere Deserialisierung von Java-Datenströmen. Dabei missbrauchen Angreifer die Logik der Anwendung, indem sie ein manipuliertes Java-Objekt an die Management-Schnittstelle senden. Dies ermöglicht die Ausführung beliebigen Java-Codes mit root-Rechten.

Welche Systeme betroffen sind – und was zu tun ist

Die Schwachstellen betreffen breite Teile der on-premises FMC-Software. Zusätzlich ist die Cloud-basierte Variante Cisco Security Cloud Control (SCC) Firewall Management von der Java-Deserialisierungslücke betroffen. Für SCC-Kunden übernimmt Cisco das Patchen automatisch. Für lokale Installationen gilt jedoch: Manuelles Handeln ist zwingend erforderlich.

Cisco stellt klar: Es gibt keine Workarounds. Die einzige wirksame Gegenmaßnahme ist die sofortige Installation der bereitgestellten Sicherheitsupdates. Zwar kann die Einschränkung des Zugriffs auf die Management-Oberfläche von außen das Risiko verringern. Gegen interne Angriffe oder kompromittierte Nachbarsysteme bietet dies jedoch keinen Schutz.

Warum Management-Systeme im Fokus stehen

Die Entdeckung unterstreicht einen besorgniserregenden Trend: Angreifer zielen zunehmend auf zentrale Sicherheits-Management-Plattformen. Das FMC ist das administrative Herzstück einer Firewall-Infrastruktur. Wer es kontrolliert, hat im Prinzip die Schlüssel zum gesamten Netzwerk in der Hand.

Angesichts der zunehmenden Bedrohungen durch Schwachstellen in zentralen Systemen hilft dieser kostenlose Leitfaden Unternehmen dabei, ihre IT-Sicherheit mit einfachen Maßnahmen nachhaltig zu stärken. Kostenlosen Leitfaden zur IT-Sicherheit jetzt herunterladen

Ein erfolgreicher Angriff könnte es ermöglichen, den Malware-Schutz still zu deaktivieren, sensiblen Datenverkehr umzuleiten oder Unternehmenskommunikation unbemerkt zu überwachen. Bislang gibt es laut Cisco keine Hinweise auf aktive Angriffe in der Wildnis. Doch die Gefahr ist real – ähnlich wie bei der kritischen RADIUS-Schwachstelle (CVE-2025-20265), die erst im August 2025 für Aufregung sorgte.

Wie Unternehmen jetzt reagieren sollten

Die Uhr tickt: Sicherheitsexperten rechnen damit, dass Angreifer versuchen werden, die veröffentlichten Patches zu reverse-engineern, um funktionierende Exploits zu entwickeln. Das Zeitfenster für eine sichere Abwehr ist daher extrem klein.

Unternehmen sollten ihre FMC-Systeme sofort aktualisieren. Zusätzlich empfiehlt sich eine Überprüfung der Netzwerkarchitektur. Die strikte Isolierung von Management-Schnittstellen – sowohl vom öffentlichen Internet als auch vom regulären Firmennetzwerk – kann die Angriffsfläche für künftige Schwachstellen deutlich verringern. Security Operations Center (SOCs) sollten zudem alle Zugriffsversuche auf ihre Firewall-Management-Systeme besonders genau überwachen, um verdächtiges Verhalten frühzeitig zu erkennen.