Cisco publicó el 4 de marzo de 2026 un aviso sobre CVE-2026-20131, un fallo en Secure Firewall Management Center (FMC) que se lleva la puntuación máxima: CVSS 10.0. El problema está en la interfaz web de gestión, y el resumen es tan grave como suena. Un atacante remoto sin credenciales puede ejecutar código Java arbitrario en el equipo y acabar con privilegios de root.
Qué falla exactamente
La raíz del problema es una deserialización insegura de objetos Java. La interfaz web de FMC acepta objetos serializados y los reconstruye sin validar lo que recibe. Si le mandas un objeto manipulado, el proceso que lo procesa termina ejecutando lo que el atacante haya metido dentro. No hace falta usuario ni contraseña, basta con poder llegar a la interfaz de gestión por la red. A partir de ahí, la ejecución de código deriva en acceso root sobre el appliance.
Importa entender qué es FMC para medir el daño. Es la consola central desde la que muchas organizaciones gestionan todos sus firewalls Cisco. Quien controla FMC puede cambiar reglas de filtrado, silenciar alertas o usar la propia consola como punto de salto para meterse más adentro de la red. Comprometer FMC no es comprometer un servidor cualquiera, es quedarse con el panel de mando de la defensa perimetral.
A quién afecta y desde cuándo
El aviso cubre Cisco Secure Firewall Management Center Software en versiones desde la 6.4.0.13 hasta la 7.4.1.1. Lo que convirtió este caso en algo más que un parche rutinario fue la cronología. El equipo de inteligencia de amenazas de Amazon detectó que el grupo de ransomware Interlock ya explotaba el fallo como 0-day desde el 26 de enero de 2026, es decir, 36 días antes de la divulgación pública. Durante más de un mes hubo ataques reales contra firewalls empresariales aprovechando un agujero que nadie había anunciado todavía, con la educación entre los sectores golpeados.
La presión subió después. El 18 de marzo Cisco actualizó su boletín para confirmar explotación activa en el mundo real, y el 19 de marzo CISA incluyó CVE-2026-20131 en su catálogo KEV (Known Exploited Vulnerabilities), lo que obliga a las agencias federales estadounidenses a parchear dentro de un plazo fijado.
Qué hacer
Aplica la actualización de Cisco para tu versión de FMC sin esperar. Es el único arreglo real; no hay configuración intermedia que tape la deserialización. Si por la razón que sea no puedes parchear de inmediato, limita el acceso a la interfaz web de gestión solo a redes de administración de confianza y mantenla fuera del alcance de Internet. Eso reduce la superficie, pero no sustituye al parche.
Dado que ya hubo explotación activa antes de la divulgación, conviene revisar registros en busca de actividad sospechosa: peticiones extrañas a la interfaz de gestión, cambios de reglas que nadie recuerda haber hecho, cuentas o procesos nuevos. Si encuentras indicios de compromiso, trata el equipo como tomado y sigue tu plan de respuesta a incidentes.