Cisco Secure Firewall Management Center (FMC) ist über zwei kritische Root-Schwachstellen angreifbar: CVE-2026-20079 und CVE-2026-20131. Beide sind mit CVSS 10.0 bewertet und lassen sich nach den Cisco-Advisories remote ohne Authentifizierung ausnutzen, sofern die Management-Oberfläche erreichbar ist.
Dieser Beitrag richtet sich an Admins, IT-Leitungen und Security-Verantwortliche, die schnell entscheiden müssen: Bin ich betroffen? Und wenn ja: Was muss heute passieren? Der operative Fokus liegt auf Exposition, Patch-Plan und Incident-Triage.
Was ist Cisco Secure Firewall Management Center?
- FMC
- Zentrale Management-Plattform für Cisco Secure Firewall- und Firepower-Umgebungen: Policies, IDS/IPS, Objekte, Regelverwaltung und Telemetrie.
- Warum kritisch?
- Wird FMC kompromittiert, kann nicht nur ein einzelnes System betroffen sein. Häufig steht die gesamte Netzwerk-Sicherheitssteuerung im Risiko: Regeländerungen, Logging-Manipulation und seitliche Bewegung.
Ausgangslage und Ziel dieses Beitrags
Cisco hat am 4. März 2026 im Rahmen der March-2026-Advisory-Bündelung mehrere Security Advisories für Secure Firewall ASA, Secure FMC und Secure FTD veröffentlicht. Darunter befinden sich zwei FMC-Schwachstellen mit Maximalwertung. Für Unternehmen heißt das: Patch-Management wird Priorität 1, besonders wenn das FMC-Management-Interface aus Netzen erreichbar ist, die ein Angreifer erreichen kann.
Seit dem 18. März 2026 ist die Lage noch ernster zu bewerten. Laut AWS Threat Intelligence wurde CVE-2026-20131 bereits 36 Tage vor der öffentlichen Offenlegung ausgenutzt. Die Analyse ordnet die Aktivität der Interlock-Ransomware zu und beschreibt eine Angriffskette von initialer Codeausführung auf FMC bis zu nachgelagerten Recon-, Persistenz- und Remote-Access-Werkzeugen.
Wichtige Grundlagen
Für die Einordnung sind drei Begriffe zentral: Authentication Bypass, Remote Code Execution und Root. Beide CVEs sind unauthenticated und remote. Es ist also kein Login erforderlich, und der Angriff ist über Netzwerkzugriff auf die Management-Oberfläche möglich.
CVE-2026-20079: Authentication Bypass bis Root
Bei CVE-2026-20079 kann ein Angreifer die Authentifizierung der FMC-Weboberfläche umgehen und anschließend Skriptdateien beziehungsweise Kommandos ausführen, die Root-Zugriff auf das Betriebssystem ermöglichen. Cisco beschreibt als Ursache einen unsachgemäß erstellten Systemprozess beim Boot. Workarounds gibt es nicht.
CVE-2026-20131: RCE durch Java-Deserialisierung
Bei CVE-2026-20131 ist die Management-Oberfläche anfällig für insecure deserialization. Vereinfacht: Das System verarbeitet serialisierte Java-Objekte, ohne sie ausreichend zu validieren. Ein Angreifer kann dadurch beliebigen Code ausführen und Privilegien bis Root erlangen.
Neu für die operative Einordnung: AWS beschreibt CVE-2026-20131 als Einstiegspunkt in eine aktive Ransomware-Kampagne. Genannt werden unter anderem HTTP-Requests an die FMC-Oberfläche, nachgelagerte Downloads von ELF-Binaries, ConnectWise ScreenConnect als legitimes Fernwartungstool für Persistenz sowie weitere Backdoors und Recon-Skripte.
Betroffenheit: Welche Produkte sind verwundbar?
Laut Cisco gilt CVE-2026-20079 für Cisco Secure FMC Software unabhängig von der Konfiguration. Cisco bestätigt explizit, dass Cloud-Delivered FMC, ASA, FTD sowie Security Cloud Control für diese CVE nicht betroffen sind.
Bei CVE-2026-20131 ist neben Cisco Secure FMC Software auch Cisco Security Cloud Control Firewall Management betroffen. Als SaaS-Angebot wird SCC laut Cisco durch den Anbieter aktualisiert; es ist keine manuelle Kundenaktion für das Patchen erforderlich. Intern sollten Risiko- und Change-Nachweise trotzdem dokumentiert werden.
Betroffene und nicht betroffene Produktbereiche
Cisco Secure FMC Software
KritischFür beide CVEs relevant. Version im Cisco Software Checker gegen First Fixed beziehungsweise Combined First Fixed prüfen.
Cisco Security Cloud Control Firewall Management
HochFür CVE-2026-20131 betroffen, wird als SaaS jedoch von Cisco im Rahmen der Wartung aktualisiert.
ASA und FTD ohne FMC
InfoFür diese beiden FMC-CVEs laut Cisco nicht direkt betroffen. Indirekte Abhängigkeiten über FMC-Betrieb dennoch prüfen.
Priorisierung nach Exposition
| Exposition | Risiko | Maßnahme |
|---|---|---|
| Management-UI aus breiten Netzen erreichbar | Höchste Priorität: User-Segmente, Partner-Netze, VPN-Pools oder Cloud-Peering können Angriffswege öffnen. | Sofort isolieren, patchen, Incident-Checks starten. |
| FMC nur intern erreichbar | Risiko sinkt, bleibt aber relevant, wenn kompromittierte Clients die UI erreichen können. | Priorisiert patchen, Zugriffe enger fassen, Telemetrie prüfen. |
| FMC strikt isoliert | Geringere Exposition, aber zentrale Management-Ebene bleibt kritisch. | Patchen, Change-Integrität prüfen, Zugriffspfad dokumentieren. |
Sofortmaßnahmen
Cisco nennt keine Workarounds. Das Ziel ist daher: Angriffsfläche reduzieren, schnell patchen und Incident-Spuren prüfen.
Sofortmaßnahmen
- 1
Exposition reduzieren
FMC-Management-Interface nicht öffentlich erreichbar machen. Zugriff nur über VPN, Jump-Host, Admin-Netz oder IP-Allowlist erlauben.
- 2
Versionen erfassen und Patch-Plan erstellen
FMC-Versionen, Standorte, HA/Cluster, Change-Fenster, Abhängigkeiten und Rollback-Plan dokumentieren.
- 3
Auf First Fixed oder Combined First Fixed patchen
Cisco Software Checker nutzen, Zielversion auswählen, Updates einspielen und Nachweis sichern.
- 4
Integrität prüfen
Policy- und Objektänderungen, neue Benutzer, ungewöhnliche Admin-Aktivitäten und auffällige Prozesse prüfen.
- 5
Monitoring schärfen
Alerts auf ungewöhnliche HTTP-Requests zur UI, Auth-Events, Konfig-Exports, privilegierte Kommandos und Egress-Anomalien setzen.
- 6
Rückwärtssuche durchführen
Egress-Logs, verdächtige Downloads, legitime Fernwartungswerkzeuge und mögliche Persistenzartefakte auf FMC und angrenzenden Admin-Systemen prüfen.
Baseline nach Organisationsgröße
| KMU | Enterprise |
|---|---|
| Management-UI nur via VPN oder Jump-Host, IP-Allowlist, Patch priorisieren, Minimal-Checks in Logs. Typischer Aufwand: 1-2 Stunden für Expositionsreduktion, ein Tag für sauberes Patch-Runbook. | Zusätzlich Change Control, SIEM-Korrelation, Integrity Checks, Incident-Playbook, Segmentierung und Egress-Kontrollen. Aufwand: laufender Betrieb. |
Patchen ohne Überraschungen
Für FMC gilt: Updates sind die einzige vollständige Remediation. Cisco empfiehlt das Upgrade auf eine gefixte Version und verweist dafür auf den Cisco Software Checker. Wenn Cisco später eine neuere Version empfiehlt, sollte diese Guidance Vorrang haben.
In Advisory-Bündeln werden oft mehrere Lücken gleichzeitig geschlossen. Wenn möglich, planen Sie auf die Version, die alle relevanten Advisories abdeckt. Das reduziert künftige Hotfix-Zyklen und Change-Aufwand.
Für die interne Steuerung sollte jedes Patch-Ticket mindestens diese Nachweise enthalten:
- betroffene FMC-Instanzen und aktuelle Versionen
- Zielversion laut Software Checker
- Expositionslage der Management-UI
- Change-Fenster und Rollback-Plan
- Nachweis der installierten Zielversion
- Ergebnis der Incident- und Integritätsprüfungen
Defensive Check- und Hardening-Beispiele
Die folgenden Beispiele enthalten keine Exploit-Details. Sie helfen beim Exposure-Check und beim Einhängen in Patch- und Change-Prozesse.
# Erreichbarkeit defensiv prüfen: nur aus Admin-Netzen testen
# Hinweis: Keine öffentlich exponierten Tests durchführen.
FMC_HOST="fmc.example.local"
FMC_PORT="443"
# TCP Check
nc -vz "$FMC_HOST" "$FMC_PORT"
# TLS Handshake grob prüfen
openssl s_client -connect "$FMC_HOST:$FMC_PORT" -servername "$FMC_HOST" < /dev/null 2>/dev/null | head -n 20managementAccess:
fmcWebUI:
port: 443
allowFrom:
- "10.10.10.0/24" # Admin-Netz
- "10.20.20.10/32" # Jump Host
denyFrom:
- "0.0.0.0/0" # alles andere
notes:
- "Kein Public Internet Access"
- "VPN erzwingen"
- "IP-Allowlist regelmäßig reviewen"Incident Quick Check - Cisco FMC (CVE-2026-20079 / CVE-2026-20131)
1) Scope
- Welche FMC-Instanzen? Welche Versionen? Welche Netze erreichen die UI?
2) Indicators
- Ungewöhnliche HTTP-Requests oder Status-Codes zur UI
- Unerwartete Egress-Verbindungen oder Downloads nach UI-Zugriff
- Neue oder ungewöhnliche Admin-Accounts
- Unerwartete Policy-Änderungen, Objekt-Änderungen, Exports oder Imports
- Auffällige Prozesse oder Jobs nach Boot oder Update
- Legitimes Remote-Tooling wie ScreenConnect ohne geplanten Einsatz
3) Actions
- Management-UI sofort isolieren
- Patch auf First Fixed oder Combined First Fixed
- Konfig- und Policy-Integrität validieren
- Credentials rotieren, falls Verdacht besteht
4) Communication
- Incident Owner, Change Manager, Management Stakeholder
- Dokumentation in Ticket- oder IR-SystemRisiko- und Maßnahmenübersicht
Risiko- und Maßnahmenübersicht
| Thema | Risiko | Sofortmaßnahme | Zielzustand |
|---|---|---|---|
| CVE-2026-20079 | Unauthenticated Authentication Bypass bis Script Execution und Root. | UI isolieren, patchen, Integrität prüfen. | Fixed Release, Restricted Access und Monitoring. |
| CVE-2026-20131 | Unauthenticated RCE via Deserialisierung, mit Hinweisen auf aktive Interlock-Ausnutzung. | UI nicht öffentlich machen, patchen, IOCs, Egress und Remote-Tools prüfen. | Fixed Release, Segmentierung, IR-Runbook und Rückwärtssuche. |
| No Workarounds | Mitigation ersetzt keinen Patch. | Change-Fenster priorisieren. | Patch-Prozess und Update-Slots etabliert. |
Lessons Learned
Zwei CVSS-10-Lücken in einer zentralen Management-Komponente sind ein harter Reminder: Management-Ebenen wie Admin-UIs, Orchestratoren und Control Planes sind High-Value-Ziele.
Die Interlock-Einordnung verschiebt den Fokus zusätzlich. Bei exponierten oder breit erreichbaren Admin-Oberflächen reicht es nicht, nur auf den Hersteller-Patch zu warten. Parallel brauchen Sie Expositionskontrolle, schnelle Incident-Triage und belastbare Nachweise darüber, ob die Komponente vor dem Patch bereits missbraucht wurde.
Praktische Lehren
| Lesson | Pragmatische Umsetzung |
|---|---|
| Admin-UIs gehören nicht ins Internet. | VPN, Jump-Host, Allowlist, Admin-Netze oder Zero-Trust Access standardisieren. |
| Patch-Management ist ein Prozess. | Feste Update-Slots, Ownership und Notfall-Change-Pfade für Critical/Active Risk etablieren. |
| Integrität und Change-Transparenz zählen. | Policy- und Objektänderungen auditieren, Backups sichern und bei kritischen Changes ein Zwei-Personen-Prinzip nutzen. |
Recht, Compliance und ISMS
Auch wenn CVEs primär technisch wirken: Für viele Organisationen sind sie Governance-relevant. In einem ISMS sollten Asset-Owner, Kritikalität, Patch-Entscheidung, Change-Nachweise und Monitoring dokumentiert werden. Für NIS2-nahe Umgebungen ist eine nachvollziehbare Priorisierung essenziell: kritisch, unauthenticated, remote, Root-Zugriff, mögliche aktive Ausnutzung.
FAQ zu Cisco FMC CVE-2026-20079/20131
FAQ zu Cisco FMC CVE-2026-20079/20131
Bin ich betroffen, wenn ich Cisco Secure Firewall Management Center nutze?
Gibt es Workarounds oder Mitigations, die die Lücken zuverlässig schließen?
Welche Produkte sind nicht betroffen?
Wird CVE-2026-20131 bereits aktiv ausgenutzt?
Was sind die wichtigsten Sofortmaßnahmen für Unternehmen?
Quellen und weiterführende Links
- Cisco PSIRT: Secure FMC Authentication Bypass VulnerabilityCisco PSIRT, 04.03.2026, CVE-2026-20079, CVSS 10.0, keine Workarounds
- Cisco PSIRT: Secure FMC Remote Code Execution VulnerabilityCisco PSIRT, 04.03.2026, CVE-2026-20131, CVSS 10.0, insecure deserialization
- Cisco Event Response: March 2026 Secure Firewall Advisory BundleCisco Event Response, 04.03.2026, Übersicht der Advisories und Combined Fix Guidance
- AWS Security Blog: Interlock ransomware targeting enterprise firewallsAWS Security Blog, 18.03.2026, ordnet CVE-2026-20131 einer Interlock-Kampagne zu
- heise online: Zwei kritische Root-Lücken bedrohen Cisco Secure Firewall Management Centerheise online, 05.03.2026
- cert.se: Kritiska sårbarheter i Cisco FMC och Cisco SCCcert.se, März 2026, Zusammenfassung und Verweis auf Cisco Event Response