Cisco v súvislosti so zero-day zraniteľnosťami odporúča bezodkladnú aktualizáciu firewallov ASA a FTD

Spoločnosť CISCO vydala bezpečnostné aktualizácie, ktoré okrem iného opravujú dve aktívne zneužívané zero-day zraniteľnosti vo firewalloch ASA (Adaptive Security Appliance) a FTD (Firewall Threat Defense). CVE-2025-20362 možno zneužiť na obídenie mechanizmov autentifikácie a CVE-2025-20333 na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Firewally Cisco ASA (Adaptive Security Appliance) s aktívnymi zraniteľnými funkciami AnyConnect IKEv2 Remote Access, Mobile User Security (MUS) alebo SSL VPN
• Firewally Cisco FTD (Firewall Threat Defense) s aktívnymi zraniteľnými funkciami AnyConnect IKEv2 Remote Access alebo AnyConnect SSL VPN

Pozn.: Konkrétne verzie zraniteľných produktov môžete nájsť prostredníctvom nástroja Cisco Software Checker.

Opis zraniteľnosti:

CVE-2025-20333 (CVSSv3.1 skóre 9,9)

CVE-2025-20333 sa nachádza v komponente VPN Web Server a spočíva v nedostatočnom overovaní používateľských vstupov v HTTP(S) požiadavkách. Vzdialený autentifikovaný útočník s platnými prihlasovacími údajmi VPN by zraniteľnosť zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

CVE-2025-20362 (CVSSv3.1 skóre 7,7)

CVE-2025-20362 spočíva v nedostatočnom overovaní používateľských vstupov v rámci HTTP(S) požiadaviek s nedostatočnej implementácii mechanizmov autentifikácie. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie prístupu k koncovým bodom URL, ktoré by mali byť prístupné len pre prihlásených používateľov.

CVE-2025-20363 (CVSSv3.1 skóre 7,7)

CVE-2025-20363 by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na získanie informácií o systéme a vzdialené vykonanie kódu.

Aktívne zneužívanie zraniteľností CVE-2025-20333 a CVE-2025-20362:

Zraniteľnosti CVE-2025-20333 a CVE-2025-20362 v súčasnosti aktívne zneužívajú útočníci, ktorí v apríli 2024 stáli aj za kampaňou ArcaneDoor. Pre túto kampaň CSIRT.SK vydal 29. apríla 2024 varovanie. ArcaneDoor zraniteľnosti zneužíva na vzdialené vykonanie kódu a manipuláciu pamäte ROM na zachovanie perzistencie po reštartoch alebo upgradov zariadení.

Americká CISA zraniteľnosti zároveň pridala do katalógu aktívne zneužívaných zraniteľností KEV (Known Exploited Vulnerabilities). NCSC-UK v súvislosti so zneužitím zraniteľností identifikovalo dva nové malwary RAYINITIATOR a LINE VIPER. RayInitiator je perzistentný GRUB (GRand Unified Bootloader) bootkit, ktorý sa flashuje do pamäte ROM a je schopný prežiť reštarty zariadenia a upgrady firmvéru. Jeho primárnou úlohou je priamo do operačnej pamäte zariadenia načítať LINE VIPER, ktorý dokáže spúšťať CLI príkazy, zachytávať pakety, obchádzať VPN AAA, potlačiť správy syslog, zachytávať CLI príkazy a za účelom prevencie diagnostiky spôsobuje úmyselné reštarty zariadenia.

Možnú existenciu zero-day zraniteľností indikovalo aj zvýšené skenovanie za účelom identifikácie Cisco ASA portov a Cisco IOS Telnet/SSH služieb, ktoré koncom augusta 2025 zachytila spoločnosť Greynoise.

Možné škody:

• Obídenie mechanizmov autentifikácie
• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame postupovať podľa návodu výrobcu, ktorý bol vydaný špecificky za účelom riešenia tejto kampane. Cisco taktiež odporúča aktivovať funkciu Threat Detection for VPN Services, ktorú možno zapnúť podľa návodu.

Infekciu zariadení možno identifikovať aj vyhľadávaním anomálií v logoch:

• zamerajte sa najmä na zníženie počtu prípadne úplne chýbajúce záznamy o udalostiach SYSLOG

302013 (“informational” level)
302014 (“informational” level)
609002 (“debug” level)
710005 (“debug” level)

• deaktivovaná funkcia checkheaps. Predvolene sa checkheaps spustí raz za 60 sekúnd. Vydanie príkazu show checkheaps vygeneruje výstup podobný nižšie uvedenému vzorovému výstupu. Odporúčame tento príkaz vykonávať raz za minútu počas piatich minút. Pokiaľ nepozorujete zmenu v zobrazovanom počte spustení, môže to indikovať kompromitáciu.

firewall# show checkheaps 
Checkheaps stats from buffer validation runs 
——————————————–
Time elapsed since last run      : 28 secs
Duration of last run             : 0 millisecs
Number of buffers created        : 106
Number of buffers allocated      : 103
Number of buffers free           : 3
Total memory in use              : 110620 bytes
Total memory in free buffers     : 124 bytes
Total number of runs             : 6352        

Zdroje:

• https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
• https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices
• https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf