Cisco Secure Firewall è al centro di un rilascio straordinario di 27 advisory di sicurezza pubblicati il 4 marzo 2026 alle 16:00 GMT, che interessano ASA, Secure Firewall Threat Defense (FTD) e Secure Firewall Management Center (FMC). Le vulnerabilità coprono un ampio spettro di componenti critiche, tra cui OSPF, Snort 3, SSH, VPN, SAML, Lua, SQL injection e motori di ispezione SSL. Alcuni difetti consentono denial of service, altri permettono remote code execution, bypass di autenticazione o iniezione di comandi. Cisco raccomanda aggiornamenti immediati, poiché in molti casi non sono disponibili workaround alternativi.
Cosa leggere
OSPF su ASA e FTD: sei vulnerabilità nel protocollo di routing
Tra le criticità più rilevanti figurano sei vulnerabilità nel protocollo OSPF implementato su ASA e FTD. Un attaccante adiacente alla rete può sfruttare condizioni di buffer overflow, memory exhaustion e memory corruption per provocare riavvii imprevisti o denial of service. I punteggi CVSS arrivano fino a 6.8. Non esistono workaround temporanei. L’unica mitigazione efficace consiste nell’upgrade alle versioni software corrette. Le organizzazioni che utilizzano OSPF in ambienti enterprise o infrastrutture critiche devono considerare questa priorità assoluta.
Snort 3 e ispezione SSL: memory management e DoS
Il motore Snort 3 presenta più vulnerabilità legate alla gestione della memoria durante l’ispezione SSL. Pacchetti appositamente costruiti possono causare il riavvio del detection engine, generando denial of service. Le CVE associate riportano CVSS 5.8. In alcuni casi è possibile applicare un workaround temporaneo modificando la policy SSL per evitare il blocco di specifiche versioni TLS, ma Cisco fornisce aggiornamenti definitivi che risolvono il difetto a livello di codice. Ulteriori vulnerabilità Snort 3 includono bypass della deep inspection e condizioni di DoS multiplo, oltre a problematiche legate al parsing di Visual Basic for Applications.
Bypass autenticazione SSH su ASA
Una vulnerabilità in Cisco Secure Firewall ASA consente a un attaccante remoto non autenticato di accedere come utente specifico senza possedere la chiave privata SSH. Il difetto interessa ambienti configurati per autenticazione basata su chiave dalla release 9.17.1 in poi. Il punteggio CVSS è 5.3. Non sono disponibili workaround. L’attaccante può eseguire comandi con privilegi limitati, senza accesso root né bypass completo AAA, ma il rischio resta significativo per ambienti esposti.
Management Center: RCE, SQL injection e authentication bypass
Secure Firewall Management Center (FMC) è interessato da vulnerabilità di remote code execution, SQL injection, command injection e authentication bypass nelle installazioni on-premise. Alcuni difetti permettono a un utente autenticato di eseguire comandi arbitrari, mentre altri possono consentire accesso non autorizzato. Cisco ha rilasciato aggiornamenti correttivi per tutte le versioni interessate e invita a utilizzare il Cisco Software Checker per identificare la release fissa appropriata.
VPN e Web Services: XSS, request smuggling e DoS
Numerose vulnerabilità riguardano le componenti VPN di ASA e FTD. Sono state corrette condizioni di denial of service su Remote Access SSL VPN, VPN Web Server e IKEv2. Altri difetti includono reflected cross-site scripting su VPN Web Services e SAML, nonché una vulnerabilità di client-side request smuggling. Questi problemi possono compromettere la disponibilità del servizio o esporre utenti a exploit via browser, in particolare in ambienti con accesso remoto massivo.
Lua, ACL bypass e IPsec DoS
Cisco ha corretto vulnerabilità di Lua code injection su ASA e FTD, oltre a un difetto di ACL bypass combinato con denial of service. Ulteriori fix riguardano condizioni di IPsec DoS, TCP flood DoS su ASA e accesso non autorizzato via SCP in modalità multiple context. Queste vulnerabilità evidenziano la complessità del codice dei firewall moderni e la necessità di aggiornamenti costanti.
Path traversal e ClamAV
Una vulnerabilità di path traversal interessa FMC e FTD, mentre un difetto nel motore ClamAV durante il parsing di file CSS può generare denial of service. Anche in questi casi Cisco fornisce fix software senza workaround alternativi.
Impatto e raccomandazioni operative
Il pacchetto di marzo 2026 conferma la portata dell’ecosistema Cisco Secure Firewall, con migliaia di dispositivi ASA, FTD e FMC distribuiti in aziende, enti pubblici e infrastrutture critiche. La maggior parte delle vulnerabilità non dispone di mitigazioni temporanee, rendendo l’upgrade l’unica soluzione definitiva.
| Titolo | Classificazione | Link Esterno |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software OSPF Protocol Vulnerabilities | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Threat Defense Software Snort 3 SSL Memory Management Denial of Service Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Threat Defense Software TLS with Snort 3 Detection Engine Denial of Service Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance Software SSH Partial Private Key Authentication Bypass Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Threat Defense Software SSL Decryption Policy Denial of Service Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Management Center Software Command Injection Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Lua Code Injection Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Services Cross-Site Scripting Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Access Control List Bypass Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software SAML Reflected Cross-Site Scripting Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Authenticated Command Injection Vulnerabilities | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Threat Defense Software Snort Deep Inspection Bypass Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software IPsec Denial of Service Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance Software TCP Flood Denial of Service Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Management Center Software Authentication Bypass Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Remote Access SSL VPN Denial of Service Vulnerabilities | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Server Denial of Service Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software IKEv2 Denial of Service Vulnerabilities | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Management Center Software Remote Code Execution Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Management Center Software SQL Injection Vulnerabilities | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance Software Multiple Context Mode SCP Unauthorized File Access Vulnerability | Vulnerabilità | Vedi Dettagli |
| Multiple Cisco Products Snort 3 Denial of Service Vulnerabilities | Vulnerabilità | Vedi Dettagli |
| Multiple Cisco Products Snort 3 Visual Basic for Applications Denial of Service Vulnerabilities | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Management Center and Secure Firewall Threat Defense Software Path Traversal Vulnerability | Vulnerabilità | Vedi Dettagli |
| ClamAV Cascading Style Sheets Image Parsing Error Handling Denial of Service Vulnerability | Vulnerabilità | Vedi Dettagli |
| Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Services Client-Side Request Smuggling Vulnerability | Vulnerabilità | Vedi Dettagli |
Cisco raccomanda backup preventivo delle configurazioni, test in ambiente di staging e monitoraggio post-update. Alcune vulnerabilità presentano rischio elevato di sfruttamento pubblico, e in alcuni casi sono state segnalate attività in natura. Gli amministratori devono utilizzare il Cisco Software Checker per verificare le versioni installate e pianificare aggiornamenti in finestre di manutenzione controllate. Il supporto tecnico Cisco resta disponibile per clienti con contratti attivi durante la fase di remediation.
Una gestione proattiva delle vulnerabilità
Le 27 vulnerabilità annunciate rappresentano un richiamo alla gestione proattiva della sicurezza. Dai protocolli di routing OSPF alla decrittazione SSL, dalla gestione VPN alla command injection, il rilascio copre un ampio spettro di superfici di attacco. Ritardare gli aggiornamenti espone le reti a rischi concreti di denial of service, compromissione dati o accesso non autorizzato. In ambienti enterprise e governativi, l’applicazione tempestiva delle patch costituisce la misura più efficace contro minacce in continua evoluzione.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
