Skip to main content
Articoli Cert

Possibile 0-Day Cisco FMC in vendita sul Dark Web

8 Ottobre 20255 min read

L’I-SOC di Cyberoo ha individuato su un forum di criminali informatici un annuncio di vendita relativo a un possibile exploit pre-auth per Cisco Firewall Management Center che consentirebbe l’esecuzione di comandi arbitrari come root su appliance virtuali Linux. L’autore dichiara affidabilità molto alta nei test (95–100%) e una rapida esecuzione (pochi secondi).

Nel post rintracciato su un forum criminale, l’autore richiede 500.000 USD in cryptovalute per il possibile exploit.

L’annuncio riporta anche una stima della superficie esposta usando motori di ricerca per servizi Internet (FOFA, Shodan, Censys), indicando decine di migliaia di endpoint riconducibili al prodotto con pagine web contenenti fingerprint riconoscibili (“GWT properties”, “cisco-icon.svg?v=”).

Questo tipo di segnalazione, se fosse veritiera, richiede attenzione immediata da parte dei team di difesa: la compromissione della console di gestione di un firewall/CISO management appliance potrebbe tradursi in controllo centrale delle regole di sicurezza, esfiltrazione di log sensibili e pivoting laterale verso asset critici.

 

Che cosa sappiamo (sintesi dei fatti)

  • Target dell’annuncio

Cisco Firewall Management Center (virtual appliance), serie 7.x (testato fino a 7.7.10, rilascio 11 agosto 2025).

  • Tipo di vulnerabilità

Remote Code Execution (pre-auth), ottenimento di privilegi root.

  • Meccanismo (come descritto dall’autore)

Sfruttamento di un problema software in FMC che consentirebbe l’esecuzione di comandi come root. Nessuna interazione utente richiesta.

  • Impatto potenziale

Compromissione completa della console di gestione; possibile manipolazione delle policy firewall, furto/alterazione di log e credenziali, creazione di backdoor persistenti.

  • Superficie

Strumenti di ricerca mostrano migliaia di endpoint potenzialmente identificabili tramite fingerprinting web.

  • Stato operativo dell’exploit

Dichiarato pronto, con tempo di consolidamento dell’offerta 1–5 giorni per finalizzare materiale consegnabile.

 

Valutazione del rischio (operativa)

Valutazione del rischio operativo: la gravità potrebbe essere elevata, perché un compromesso permetterebbe l’acquisizione di privilegi root sull’appliance di gestione.

La probabilità che questa falla venga sfruttata aumenterebbe se la console è esposta pubblicamente o se non c’è una netta separazione tra rete di gestione e infrastruttura produttiva; il fatto che il dispositivo compaia in motori di ricerca per dispositivi connessi come FOFA/Shodan/Censys confermerebbe l’esistenza di una superficie attaccabile.

Se eseguito realmente, l’impatto sul business potrebbe essere critico: si potrebbero rischiare interruzioni dei controlli di rete e l’accesso a informazioni particolari, con conseguenze dirette sulla disponibilità e sulla riservatezza dei sistemi. Infine, il tempo necessario per l’exploit potrebbe essere molto breve. L’autore segnala esecuzione in pochi secondi e la diffusione di exploit disponibili nell’arco di pochi giorni.

 

Cosa cercare – indicatori per detection (solo difesa)

Di seguito forniamo dei suggerimenti generali per individuare possibili compromissioni della console; non includiamo comandi di sfruttamento o PoC:

  • Accessi anomali alla console di gestione: picchi di richieste HTTP/S verso l’interfaccia di management, soprattutto da IP esterni o da range geograficamente non attesi.
  • Comportamento dei processi: processi inattesi lanciati dal demone di gestione (processi con binari non firmati o posizioni anomale in /tmp, /var/tmp).
  • Connessioni di rete insolite: sessioni outbound da FMC verso server remoti sconosciuti o verso infrastrutture di comando-controllo.
  • Modifiche a configurazioni o policy: variazioni non autorizzate nelle regole firewall, oggetti o policy di gestione. Verificare differenze rispetto a backup/commit recenti.
  • Alterazione dei log: gap temporali nei log, log manipolati o rotazioni anomale.
  • File system e cron: presenza di file o script persisten­ti non riconosciuti e job pianificati sospetti.
  • Indicatori esterni: consultare feed di threat intelligence per eventuali IOCs pubblicati successivamente alla diffusione dell’exploit.

 

Raccomandazioni di mitigazione e risposta (priorità)

Se quanto promesso nell’annuncio fosse vero e se venisse acquistato, per le aziende diventerebbe prioritaria la riduzione immediata della superficie esposta e l’attivazione di un’indagine forense coordinata, eventualmente con il supporto di forze dell’ordine e vendor.

  1. Isolare e non esporre la management interface: se la console FMC è raggiungibile da Internet, limitarne l’accesso via VPN aziendale o IP allow-list.
  2. Patch e verifica di versione: verificare le versioni FMC in uso comparandole con le timeline di security advisory Cisco; applicare patch ufficiali non appena rilasciate. Se non esiste ancora patch ufficiale, aumentare misure di compensazione (segmentation, access control).
  3. Segregazione della rete di management: spostare la management plane in una rete separata, con regole di egress strettissime.
  4. Backup e verifica integrità: assicurarsi di avere backup recenti e immutabili della configurazione FMC; salvare snapshot per analisi forense se si sospetta compromissione.
  5. Monitoraggio e logging avanzato: abilitare integrazione con SIEM/EDR e aumentare retention per analisi; monitorare le regole elencate nella sezione detection.
  6. Hunting attivo: eseguire una ricerca retrospettiva nei log per eventuali accessi o attività sospette dal momento di pubblicazione dell’annuncio.
  7. Piano di risposta: preparare playbook che includano isolamento dell’appliance, raccolta dei dati forensi, rotazione delle credenziali di servizio e comunicazione verso stakeholder.
  8. Comunicazione e disclosure responsabile: se si conferma una vulnerabilità, coordinare il contatto con Cisco e osservare pratiche di disclosure responsabile; evitare la diffusione pubblica di dettagli tecnici che potrebbero accelerare lo sfruttamento.

 

Facendo un punto

La comparsa di un annuncio commerciale relativo a un exploit pre-auth per Cisco FMC, potrebbe rappresentare una minaccia seria per infrastrutture che utilizzano questa appliance, specialmente se la management interface è esposta o poco segmentata.

Raccomandiamo una immediata verifica degli asset, aumento del monitoraggio e misure compensative fino a quando Cisco non rilascerà un advisory e le relative patch.