Cisco ha emitido una advertencia de máxima urgencia tras descubrir una vulnerabilidad crítica en el subsistema RADIUS de su Secure Firewall Management Center (FMC), la plataforma de gestión centralizada para sus cortafuegos de nueva generación. El fallo, identificado como CVE-2025-20265, ha recibido la calificación más alta posible en el sistema de evaluación de riesgos, con un puntaje CVSS de 10 sobre 10, lo que refleja el nivel extremo de gravedad.
¿Qué es Cisco Secure Firewall Management Center?
El Firewall Management Center es la herramienta con la que empresas y administradores gestionan de forma centralizada los cortafuegos Cisco, tanto a través de una interfaz web como por SSH. Este software se utiliza de manera habitual en entornos empresariales y gubernamentales, donde la seguridad y la trazabilidad de accesos resultan críticas. Entre sus funciones está la integración con sistemas de autenticación externos como RADIUS (Remote Authentication Dial-In User Service), una tecnología que permite centralizar las credenciales y el registro de accesos a dispositivos de red.
La vulnerabilidad CVE-2025-20265
El fallo descubierto se encuentra en la implementación del subsistema RADIUS cuando está habilitado en FMC. Según Cisco, un atacante remoto y no autenticado podría enviar entradas manipuladas durante el proceso de autenticación, lo que derivaría en la ejecución arbitraria de comandos con privilegios elevados en el dispositivo afectado.
El fabricante advierte que la raíz del problema es la falta de validación adecuada de la entrada del usuario durante la fase de autenticación. En términos prácticos, un atacante podría aprovechar este descuido para inyectar comandos directamente en el sistema.
El alcance de la vulnerabilidad incluye las versiones 7.0.7 y 7.7.0 de FMC, siempre que tengan habilitada la autenticación RADIUS en el acceso web o vía SSH.
Posibles consecuencias
El impacto potencial de esta vulnerabilidad es muy alto: un atacante que la explotara con éxito tendría la capacidad de comprometer la seguridad de la infraestructura de red gestionada por Cisco FMC. En un escenario real, esto podría derivar en:
- Toma de control de la plataforma de gestión de cortafuegos.
- Ejecución remota de comandos maliciosos con privilegios de administrador.
- Alteración de las configuraciones de seguridad de la red.
- Acceso a información sensible o incluso interrupciones del servicio.
Aunque Cisco ha confirmado que, por el momento, no se tienen evidencias de explotación activa en entornos reales, la naturaleza crítica del fallo obliga a actuar de inmediato.
Soluciones y mitigaciones
Cisco ha publicado actualizaciones gratuitas de software para corregir la vulnerabilidad. Los clientes con contrato de soporte pueden acceder a los parches a través de los canales habituales. Para aquellos que no puedan aplicar el parche de forma inmediata, la compañía recomienda una mitigación temporal: deshabilitar el uso de RADIUS como método de autenticación y optar por alternativas como cuentas locales, LDAP externo o autenticación basada en SAML.
No obstante, Cisco advierte que cada organización debe evaluar el impacto de este cambio en su infraestructura, ya que modificar el método de autenticación podría generar ajustes adicionales en la gestión de accesos.
Descubrimiento y respuesta de Cisco
La vulnerabilidad fue descubierta de manera interna por Brandon Sakai, investigador de seguridad de Cisco. Esto significa que el fallo no fue identificado tras un ataque externo, sino como parte de los procesos internos de revisión de seguridad de la compañía.
En su boletín oficial, Cisco ha insistido en la importancia de mantener los sistemas actualizados y ha recordado a sus clientes la existencia de herramientas como el Cisco Software Checker, que permite comprobar qué versiones de software están afectadas y cuál es la primera versión que incluye el parche.
Otros fallos corregidos por Cisco
El anuncio de Cisco no se limita a CVE-2025-20265. La compañía ha aprovechado para liberar parches que solucionan 13 vulnerabilidades adicionales de alta severidad en distintos productos, entre ellos:
- CVE-2025-20217: Denegación de servicio en Secure Firewall Threat Defense Snort 3.
- CVE-2025-20222: Ataque DoS en ASA y Secure FTD (Firepower 2100) al manejar IPv6 sobre IPsec.
- CVE-2025-20148: Inyección HTML en Secure Firewall Management Center.
- CVE-2025-20244: Denegación de servicio en el servidor web de VPN remota en ASA y FTD.
- CVE-2025-20133 / 2025-20243: DoS en VPN SSL de acceso remoto en ASA y FTD.
- CVE-2025-20134: Ataques DoS en certificados SSL/TLS de ASA y FTD.
- CVE-2025-20136: Problemas en la inspección NAT DNS de ASA y FTD.
- CVE-2025-20251: Denegación de servicio en VPN web server de ASA y FTD.
- CVE-2025-20224 / 2025-20225: Ataques DoS en IKEv2 para IOS, IOS XE, ASA y FTD.
- CVE-2025-20263: Denegación de servicio en servicios web de ASA y FTD.
- CVE-2025-20127: Ataques DoS en TLS 1.3 cipher en Firepower 3100/4200.
De estas vulnerabilidades, la única que cuenta con un workaround específico es CVE-2025-20127, para la cual Cisco recomienda eliminar el cifrado TLS 1.3 afectado.
Contexto: vulnerabilidades críticas y confianza en los fabricantes
El hallazgo de CVE-2025-20265 pone de relieve un hecho cada vez más evidente en el sector tecnológico: incluso las soluciones diseñadas para proteger redes y datos pueden convertirse en puertas de entrada si contienen errores de programación.
En un mundo donde las infraestructuras de seguridad se apoyan en plataformas centralizadas como FMC, un fallo crítico no afecta únicamente a un servidor aislado, sino que pone en jaque toda la red corporativa. Por ello, la industria insiste en la importancia de aplicar actualizaciones con rapidez y de mantener políticas de defensa en profundidad, que no dependan exclusivamente de un único punto de control.
Conclusión
La vulnerabilidad descubierta en Cisco Secure Firewall Management Center representa una amenaza seria para las organizaciones que utilizan este software en combinación con RADIUS. Aunque no existen evidencias de explotación activa, la severidad del fallo y su potencial de impacto obligan a que las empresas actúen de manera inmediata, ya sea aplicando los parches liberados por Cisco o, en su defecto, implementando las mitigaciones propuestas.
En paralelo, los otros 13 fallos corregidos recuerdan que la superficie de ataque en los sistemas de seguridad es amplia y que la única manera de minimizar riesgos es mediante una estrategia constante de actualización, monitorización y pruebas de seguridad.
Preguntas frecuentes (FAQ)
1. ¿Qué versiones de Cisco FMC están afectadas por la vulnerabilidad CVE-2025-20265?
Las versiones 7.0.7 y 7.7.0 cuando utilizan RADIUS como método de autenticación en el acceso web o SSH.
2. ¿Cómo puedo mitigar el fallo si no puedo aplicar el parche inmediatamente?
Cisco recomienda desactivar RADIUS y utilizar métodos alternativos como cuentas locales, LDAP o SAML para la autenticación.
3. ¿Se ha detectado explotación activa de esta vulnerabilidad?
No. Cisco ha confirmado que no existen pruebas de que el fallo haya sido aprovechado en ataques reales hasta el momento.
4. ¿Qué otras vulnerabilidades se corrigieron junto con CVE-2025-20265?
Cisco publicó parches para 13 fallos adicionales de alta severidad, entre ellos inyecciones HTML, problemas con VPN SSL y errores en la gestión de protocolos como IKEv2, TLS y DNS.
