Cisco призова клиентите си да приложат незабавни актуализации, след като бяха открити и вече експлоатирани в реална среда две сериозни уязвимости в Cisco Secure Firewall Adaptive Security Appliance (ASA) Software и Cisco Secure Firewall Threat Defense (FTD) Software.

Детайли за уязвимостите

• CVE-2025-20333 (CVSS 9.9) – критична уязвимост, свързана с некоректна валидация на вход от потребителя в HTTP(S) заявки. Позволява на отдалечен атакуващ с валидни VPN креденшъли да изпълнява произволен код като root чрез изпращане на специално изработени заявки.

• CVE-2025-20362 (CVSS 6.5) – уязвимост, която позволява на неавтентифициран атакуващ да получи достъп до ограничени URL крайни точки, също чрез манипулирани HTTP(S) заявки.

Според Cisco и двете слабости могат да бъдат използвани в комбинация за заобикаляне на автентикация и изпълнение на зловреден код върху засегнатите устройства.

Реакция и международно сътрудничество

Откритията са подкрепени от редица кибер агенции, включително Australian Signals Directorate, Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security, UK NCSC и US CISA.

Американската CISA издаде спешна директива ED 25-03, задължаваща федералните агенции да:

• Идентифицират и анализират потенциални компрометирани системи;

• Прилагат незабавни мерки за отстраняване;

• Отчетат действията в рамките на 24 часа.

И двете уязвимости бяха включени в Known Exploited Vulnerabilities (KEV) каталога.

Заплаха от ArcaneDoor и UAT4356

CISA свързва атаките с дейността на групировката ArcaneDoor, идентифицирана още през 2024 г. като насочена срещу периферни мрежови устройства на различни производители. Зад нея стои заплахата UAT4356 (известна и като Storm-1849).

Групата е показала способност да модифицира ROM на ASA устройства, осигурявайки устойчивост дори след рестарт или системен ъпгрейд. Защитата Secure Boot при Firepower апаратите може да засече такива манипулации, но ASA платформата остава особено уязвима.

Какво трябва да направят организациите?

• Незабавно да инсталират наличните пачове от Cisco;

• Да проверят системите си за индикатори за компрометиране (IoC);

• Да следят бюлетините на Cisco и CISA за нови актуализации;

• Да прилагат засилен мониторинг и допълнителни защитни механизми за VPN достъп.

Откритите уязвимости в Cisco ASA и FTD подчертават нарастващия риск от целенасочени атаки срещу периферни мрежови устройства, които често служат като входна точка към критични системи. Случаят показва необходимостта организациите да реагират незабавно на предупрежденията на производителите и кибер агенциите, тъй като забавянето може да доведе до сериозни пробиви и дълготрайни последствия.