Cisco ostrzega przed nowym wariantem ataku na Secure Firewall ASA/FTD (CVE-2025-20333 i CVE-2025-20362)

securitybeztabu.pl 19 godzin temu

Wprowadzenie do problemu / definicja luki

Cisco poinformowało o nowym wariancie ataku wymierzonym w urządzenia z Secure Firewall Adaptive Security Appliance (ASA) oraz Secure Firewall Threat Defense (FTD), podatne na CVE-2025-20333 i CVE-2025-20362. Według zaktualizowanych materiałów Cisco, atak może powodować nieoczekiwane restarty niezałatanych urządzeń, skutkując odmową usługi (DoS). Producent ponownie wzywa do jak najszybszego wdrożenia poprawek.

W skrócie

  • CVE-2025-20333 (RCE) — umożliwia zdalne wykonanie kodu jako root poprzez specjalnie spreparowane żądania HTTP(S) do WebVPN (dotyczy ASA/FTD).
  • CVE-2025-20362 (auth bypass) — umożliwia dostęp do ograniczonych endpointów URL bez uwierzytelnienia.
  • Nowy wariant (05.11.2025): obserwowane są restarty niezałatanych urządzeń (DoS).
  • Kontekst operacyjny: kampania z 2025 r. została objęta CISA Emergency Directive 25-03, z procedurami „core dump & hunt”, a analizy NCSC opisują RayInitiator (bootkit) i LINE VIPER (loader) wykorzystywane przeciwko Cisco ASA.

Kontekst / historia / powiązania

Pierwsze publiczne ostrzeżenia w 2025 r. dotyczyły łańcucha ataków na perymetryczne urządzenia sieciowe Cisco. CISA wydała Emergency Directive ED 25-03 (25.09.2025) nakazującą podmiotom federalnym natychmiastowe inwentaryzacje, działania dochodzeniowe oraz odłączanie urządzeń EoL/EoS. Równolegle NCSC (UK) opisało malware RayInitiator i LINE VIPER jako istotną ewolucję wcześniejszych technik (ArcaneDoor/Line Dancer/Line Runner), z naciskiem na trwałość i unikanie wykrycia.

Analiza techniczna / szczegóły luki

CVE-2025-20333 — RCE (WebVPN, ASA/FTD)

  • Luka w przetwarzaniu wejścia w komponentach HTTP(S)/WebVPN może pozwolić atakującemu na zdalne wykonanie kodu z uprawnieniami root na podatnym urządzeniu. W praktyce jest to wykorzystywane do przejęcia pełnej kontroli nad systemem.

CVE-2025-20362 — obejście uwierzytelniania (URL)

  • Błąd walidacji pozwala na nieautoryzowany dostęp do wybranych zabezpieczonych endpointów poprzez spreparowane żądania HTTP(S). Choć sam w sobie nie daje RCE, pozwala na łańcuchowanie z innymi podatnościami lub funkcjami systemu.

„Nowy wariant” ataku (aktualizacja z 5 listopada 2025 r.)

  • Cisco odnotowało odświeżone techniki wymierzone w niezałatane urządzenia ASA/FTD, które mogą wywoływać nieplanowane restarty i DoS. To wskazuje, iż aktorzy przez cały czas aktywnie rozwijają taktyki po wrześniowych ujawnieniach luk.

Powiązane TTPs / malware (NCSC MAR)

  • RayInitiator: wieloetapowy bootkit GRUB zapewniający trwałość (survives reboot & firmware upgrade) na modelach ASA bez Secure Boot.
  • LINE VIPER: loader w przestrzeni użytkownika, uruchamiany m.in. przez sesje WebVPN client auth; posiada moduły do wykonywania komend CLI, przechwytywania ruchu, omijania AAA dla urządzeń aktora, tłumienia syslogów i wymuszania opóźnionych restartów. Raport zawiera reguły YARA i szczegóły ładowania przez WebVPN (PKCS#7 + shellcode).

Praktyczne konsekwencje / ryzyko

  • Ryzyko przejęcia urządzenia perymetrycznego (RCE + auth bypass) i utrata integralności stref DMZ/VPN.
  • Zakłócenia usług (restarty/DoS), które mogą ukrywać ślady ataku i utrudniać forensikę.
  • Trwała persystencja na starszych platformach bez Secure Boot, choćby po aktualizacjach oprogramowania.
  • Ryzyko lateral movement w sieci po kompromitacji bramy VPN/firewalla.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe łatanie i hardening

  • Zaktualizuj ASA/FTD do wydań naprawczych wskazanych w advisories Cisco dla CVE-2025-20333 oraz CVE-2025-20362.
  • Jeżeli WebVPN nie jest wymagany, tymczasowo wyłącz i ogranicz dostęp administracyjny wyłącznie z MGMNT VLAN/IP allowlist.

2) Incident response według CISA ED 25-03

  • Zastosuj procedury z Emergency Directive 25-03: pełna inwentaryzacja ASA/FTD, core dump & hunt, artefakty, polisy rozłączania dla EoL/EoS oraz upgrade pozostałych systemów. Skorzystaj z Supplemental Direction (Core Dump & Hunt Instructions).

3) Detekcja & hunting

  • Przejrzyj raport NCSC (MAR) i użyj dostarczonych reguł YARA/IoC do wykrywania RayInitiator/LINE VIPER, sprawdź oznaki manipulacji ROM/GRUB i tłumienia logów.

4) Kontrola integralności i architektury

  • Preferuj platformy z Secure Boot; dla starszych modeli rozważ przyspieszoną wymianę.
  • Włącz/egzekwuj MFA na dostęp admin, segregację płaszczyzn sterowania (out-of-band), telemetrię na zewnętrznym SIEM i capture’y ruchu do korelacji czasów restartów z nietypowym ruchem WebVPN.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Wobec wcześniejszych kampanii na ASA (np. ArcaneDoor), obecne narzędzia (RayInitiator/LINE VIPER) kładą większy nacisk na trwałość (modyfikacje GRUB/ROM) i obronę przed detekcją (np. tłumienie syslogów).
  • Łańcuch podatności CVE-2025-20333 + CVE-2025-20362 umożliwia eskalację od obejścia autoryzacji do RCE jako root, przy czym nowy wariant dołożył efekt DoS poprzez restart urządzeń — to zwiększa presję operacyjną SOC/NetOps.

Podsumowanie / najważniejsze wnioski

  • Aktualizacje są krytyczne — łańcuch CVE-2025-20333/CVE-2025-20362 jest wciąż aktywnie rozwijany, a niezałatane urządzenia mogą być restartowane i wyłączane z usług.
  • Postępuj zgodnie z ED 25-03 (core dump & hunt, odłączenia EoL, upgrade) i wdrażaj detekcje z MAR NCSC.
  • Ogranicz ekspozycję WebVPN i wprowadź kontrole integralności (Secure Boot, weryfikacja ROM/GRUB), aby utrudnić długotrwałą persystencję.

Źródła / bibliografia

  1. Cisco Security Advisory – CVE-2025-20333 (ASA/FTD WebVPN RCE) — aktualizacja uwzględniająca nowy wariant z 5.11.2025. (sec.cloudapps.cisco.com)
  2. Cisco Security Advisory – CVE-2025-20362 (ASA/FTD WebVPN auth bypass) — aktualizacja uwzględniająca nowy wariant z 5.11.2025. (sec.cloudapps.cisco.com)
  3. Cisco: Continued Attacks Against Cisco Firewalls (ASA/FTD) — omówienie nowego wariantu i skutków (restart/DoS). (sec.cloudapps.cisco.com)
  4. CISA Emergency Directive 25-03 — Identify and Mitigate Potential Compromise of Cisco Devices + Supplemental „Core Dump & Hunt”. (CISA)
  5. NCSC MAR (RayInitiator & LINE VIPER) — analiza techniczna bootkitu i loadera + reguły YARA. (NCSC)
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Cisco ostrzega przed nowym wariantem ataku na Secure Firewall ASA/FTD (CVE-2025-20333 i CVE-2025-20362)

Powiązane

Krytyczna podatność w Androidzie umożliwia zdalne wykonanie kodu, bez interakcji ze strony użytkownika [CVE-2025-48593]

Krytyczna podatność w Androidzie umożliwia zdalne wykonanie ...

14 godzin temu
Nastoletni sprawcy DDoS-ów złapani przez policję

Nastoletni sprawcy DDoS-ów złapani przez policję

17 godzin temu
Zarządzanie urządzeniami mobilnymi i stacjami roboczymi w Linux z Baramundi Management Suite 2025 R2

Zarządzanie urządzeniami mobilnymi i stacjami roboczymi w Li...

18 godzin temu
Prześwietlenie współczesnych sieci. Techniczne wyzwania bezpieczeństwa IoT/xIoT

Prześwietlenie współczesnych sieci. Techniczne wyzwania bezp...

19 godzin temu
Cisco łata krytyczne luki w Unified Contact Center Express (UCCX): RCE i eskalacja uprawnień

Cisco łata krytyczne luki w Unified Contact Center Express (...

19 godzin temu
Krytyczna luka w Cisco UCCX pozwala uruchamiać komendy jako root (CVE-2025-20354)

Krytyczna luka w Cisco UCCX pozwala uruchamiać komendy jako ...

19 godzin temu
Apple łata 19 luk w WebKit. Aktualizacje iOS 26.1, macOS Tahoe 26.1 i Safari 26.1 – co musisz wiedzieć

Apple łata 19 luk w WebKit. Aktualizacje iOS 26.1, macOS Tah...

2 dni temu
CISA dodaje luki w Gladinet CentreStack/Triofox i Control Web Panel do katalogu KEV. Patchuj do 25 listopada 2025

CISA dodaje luki w Gladinet CentreStack/Triofox i Control We...

2 dni temu