Cisco Secure FMCのRADIUSで深刻な脆弱性(CVE-2025-20265)-ただちに設定確認とアップデートを

セキュリティニュース

投稿日時: 更新日時:

Cisco Secure FMCのRADIUSで深刻な脆弱性(CVE-2025-20265)-ただちに設定確認とアップデートを

シスコは、Secure Firewall Management Center(FMC)のRADIUS実装にリモートから任意コマンド実行(RCE)が可能となる深刻な脆弱性(CVE-2025-20265)を公表しました。

CVSSは最大の10.0で、Web/SSH管理の認証にRADIUSを有効化している場合、未認証の攻撃者が細工した入力で高権限のシェルコマンドを実行できるおそれがあります。現時点で悪用の公表事例は確認されていないものの、影響は重大です。

影響を受けるバージョンと前提条件

影響を受けるのは、Cisco Secure FMC 7.0.7 および 7.7.0で、かつRADIUS認証が有効になっている環境です。

ASA(Adaptive Security Appliance)やFTD(Threat Defense)は本件の対象外です。

パッチリリース済み

シスコは修正済みソフトウェアを提供しています。契約チャネルから該当FMCを修正済みリリースへアップグレードしてください。アップグレード前に、現在の構成・互換性・リソース要件を確認のうえ、メンテナンスウィンドウで計画的に実施することをおすすめします。

併せて押さえておきたい同日公表の修正

今回のFMCアドバイザリは、ASA/FMC/FTD向け半期バンドル公開の一部です。ほかにも高リスクのDoSやHTML Injectionなど複数の修正が提供されています(例:Snort 3のDoS、Remote Access VPN関連のDoS、IKEv2関連のDoS、TLS 1.3暗号スイートに関する留意点など)。

基本方針として、最新の推奨リリースへ包括アップデートすることを検討してください。

まず実施すべき確認と暫定対応

  1. RADIUSの利用有無を確認
    管理画面のユーザー/外部認証設定で、RADIUSが有効になっていないかを確認してください。運用で不要な場合は無効化してください。

  2. 一時的な緩和策(パッチ適用まで)
    ワークアラウンドは提供されていませんが、認証方式をRADIUS以外(ローカルアカウント/LDAP/SAML SSO など)に切り替えることでリスクを低減できます。切り替えによる運用影響は事前に評価してください。

  3. 管理プレーンの露出最小化
    FMC管理UI/SSHへの到達経路を、管理ネットワークからのみに制限し、到達元IP制限やVPN経由アクセスを徹底してください。

参照

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79