思科正敦促客户修补两个安全漏洞,这些漏洞影响了思科安全防火墙自适应安全设备(ASA)软件和思科安全防火墙威胁防御(FTD)软件的VPN网页服务器,该公司表示这些漏洞已在野外被利用。
相关的零日漏洞如下:
- CVE-2025-20333(CVSS评分:9.9)——这是一个HTTP(S)请求中对用户提供输入的验证不当漏洞,该漏洞可能允许拥有有效VPN用户凭据的经过身份验证的远程攻击者通过发送特制的HTTP请求,在受影响的设备上以root权限执行任意代码。
- CVE-2025-20362(CVSS评分:6.5)——这是一个HTTP(S)请求中用户提供输入的验证不当漏洞,可能允许未认证的远程攻击者通过发送特制的HTTP请求,在无需认证的情况下访问受限制的URL端点。
思科表示,其已意识到这两个漏洞存在“未遂利用”情况,但未透露幕后可能的操作者以及攻击的波及范围。据推测,这两个漏洞正被结合利用,以绕过身份验证并在易受攻击的设备上执行恶意代码。
它还感谢澳大利亚信号局、澳大利亚网络安全中心(ACSC)、加拿大网络安全中心、英国国家网络安全中心(NCSC)和美国网络安全与基础设施安全局(CISA)对调查的支持。
美国网络安全与基础设施安全局发布紧急指令ED 25-03
在另一份警报中,美国网络安全与基础设施安全局(CISA)表示,其正发布一项紧急指令,敦促联邦机构立即识别、分析并缓解潜在的安全漏洞。此外,这两个漏洞均已被添加到已知被利用漏洞(KEV)目录中,要求各机构在24小时内采取必要的缓解措施。
“CISA 意识到,一个高级威胁行为者正在针对思科自适应安全设备(ASA)开展持续的攻击活动,”该机构指出。
“这场攻击活动范围广泛,涉及利用零日漏洞在ASA上获取未经身份验证的远程代码执行权限,以及操纵只读存储器(ROM)以在重启和系统升级后保持存在。此类活动对受害网络构成重大风险。”
该机构还指出,此类活动与一个名为ArcaneDoor的威胁集群有关联。该集群此前被发现针对多家供应商的边界网络设备(包括思科),以投放Line Runner和Line Dancer等恶意软件家族。这类活动被归因于代号为UAT4356(又名Storm-1849)的威胁行为者。
美国网络安全与基础设施安全局补充道:“该威胁行为者至少早在2024年就已展现出成功修改ASA只读存储器的能力。思科ASA平台中的这些零日漏洞也存在于特定版本的思科防火墙中。防火墙设备的安全启动功能会检测到已识别的只读存储器篡改行为。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
