Невесёлая пятница, ещё домой не ушли? Уязвимость 9.9 баллов в Cisco ASA и FTD.
Если есть обновление, то можно обновиться. Если нет обновления — отключить все веб-сервисы VPN на основе SSL/TLS. Это сервисы клиента IKEv2, которые облегчают обновление клиентского ПО и профилей, а также отключение всех сервисов SSL VPN.
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
https://thehackernews.com/2025/09/urgent-cisco-asa-zero-day-duo-under.html
- CVE-2025-20333 — 9.9 баллов. Уязвимость переполнения буфера и удаленного выполнения кода в веб-сервере VPN программного обеспечения Cisco Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
- CVE-2025-20363 — 9.0 баллов. Уязвимость переполнения кучи и удаленного выполнения кода в HTTP-сервере программного обеспечения Cisco Secure Firewall Adaptive Security Appliance, Secure Firewall Threat Defense, IOS, IOS XE и IOS XR
- CVE-2025-20362 — 6.5 баллов. Уязвимость несанкционированного доступа в веб-сервере VPN программного обеспечения Cisco Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
Затронутые модели Cisco ASA 5500-X Series
В ходе данной кампании было зафиксировано успешное компрометирование следующих моделей Cisco ASA 5500-X Series под управлением Cisco ASA Software версий 9.12 или 9.14 с включенными веб-сервисами VPN, которые не поддерживают технологии Secure Boot и Trust Anchor:
- 5512-X и 5515-X – Дата окончания поддержки: 31 августа 2022 г.
- 5525-X, 5545-X и 5555-X – Дата окончания поддержки: 30 сентября 2025 г.
- 5585-X – Дата окончания поддержки: 31 мая 2023 г.
Следующие модели Cisco ASA 5500-X Series, а также все модели Cisco Firepower и Cisco Secure Firewall поддерживают Secure Boot и Trust Anchors:
- 5505-X, 5506H-X, 5506W-X, 5508-X и 5516-X – Дата окончания поддержки: 31 августа 2026 г.
На этих моделях не наблюдалось успешной эксплуатации данных уязвимостей и модификаций ROMMON. Они включены сюда в связи с приближающейся датой окончания поддержки.
