Cisco va publicar el 4 de març de 2026 un avís sobre CVE-2026-20131, una fallada a Secure Firewall Management Center (FMC) que s’emporta la puntuació màxima: CVSS 10.0. El problema és a la interfície web de gestió, i el resum és tan greu com sembla. Un atacant remot sense credencials pot executar codi Java arbitrari a l’equip i acabar amb privilegis de root.
Què falla exactament
L’arrel del problema és una deserialització insegura d’objectes Java. La interfície web de FMC accepta objectes serialitzats i els reconstrueix sense validar el que rep. Si li envies un objecte manipulat, el procés que el tracta acaba executant allò que l’atacant hi ha posat a dins. No cal usuari ni contrasenya, n’hi ha prou amb poder arribar a la interfície de gestió per la xarxa. A partir d’aquí, l’execució de codi deriva en accés root sobre l’appliance.
Convé entendre què és FMC per mesurar el dany. És la consola central des de la qual moltes organitzacions gestionen tots els seus tallafocs Cisco. Qui controla FMC pot canviar regles de filtratge, silenciar alertes o fer servir la mateixa consola com a punt de salt per ficar-se més endins de la xarxa. Comprometre FMC no és comprometre un servidor qualsevol, és quedar-se amb el quadre de comandament de la defensa perimetral.
A qui afecta i des de quan
L’avís cobreix Cisco Secure Firewall Management Center Software en versions des de la 6.4.0.13 fins a la 7.4.1.1. El que va convertir aquest cas en alguna cosa més que un pedaç rutinari va ser la cronologia. L’equip d’intel·ligència d’amenaces d’Amazon va detectar que el grup de ransomware Interlock ja explotava la fallada com a 0-day des del 26 de gener de 2026, és a dir, 36 dies abans de la divulgació pública. Durant més d’un mes hi va haver atacs reals contra tallafocs empresarials aprofitant un forat que ningú no havia anunciat encara, amb l’educació entre els sectors afectats.
La pressió va pujar després. El 18 de març Cisco va actualitzar el seu butlletí per confirmar explotació activa al món real, i el 19 de març CISA va incloure CVE-2026-20131 al seu catàleg KEV (Known Exploited Vulnerabilities), cosa que obliga les agències federals nord-americanes a aplicar el pedaç dins d’un termini fixat.
Què cal fer
Aplica l’actualització de Cisco per a la teva versió de FMC sense esperar. És l’únic arranjament real; no hi ha cap configuració intermèdia que tapi la deserialització. Si per la raó que sigui no pots aplicar el pedaç de seguida, limita l’accés a la interfície web de gestió només a xarxes d’administració de confiança i mantén-la fora de l’abast d’Internet. Això redueix la superfície, però no substitueix el pedaç.
Com que ja hi va haver explotació activa abans de la divulgació, val la pena revisar els registres buscant activitat sospitosa: peticions estranyes a la interfície de gestió, canvis de regles que ningú no recorda haver fet, comptes o processos nous. Si trobes indicis de compromís, tracta l’equip com a pres i segueix el teu pla de resposta a incidents.