思科发布了紧急安全公告,警告其安全防火墙自适应安全设备(ASA)和安全防火墙威胁防御(FTD)软件平台中存在一个严重的零日漏洞,且该漏洞正被积极利用。
该漏洞编号为CVE-2025-20333,最高CVSS评分为9.9,允许已认证的远程攻击者在受影响设备上以root权限执行任意代码。
该漏洞存在于ASA和FTD软件的VPN Web服务器组件中,尤其会影响启用了远程访问VPN配置的设备。
思科产品安全事件响应团队(PSIRT)确认存在活跃的漏洞利用尝试,并强调了这一安全缺陷的严重性,它可能导致设备被完全攻陷。
思科ASA零日远程代码执行漏洞
CVE-2025-20333的根本原因在于VPN网页服务器处理的HTTP(S)请求中,对用户提供的输入验证不当。
这种缓冲区溢出漏洞(CWE-120)允许拥有有效VPN凭据的已认证攻击者精心构造恶意HTTP请求,从而触发具有提升权限的代码执行。
易受攻击的配置包括运行ASA或FTD软件且启用了特定VPN功能的设备,这些功能包括带有客户端服务的AnyConnect IKEv2远程访问(crypto ikev2 enable <interface_name> client-services port <port_number>)、SSL VPN服务(webvpn enable <interface_name>)以及移动用户安全(MUS)实施。
该漏洞专门针对由这些配置启用的SSL监听套接字。
攻击过程要求攻击者首先获取有效的VPN用户凭据,之后他们可以向目标设备的VPN Web服务器发送特制的HTTP请求。
成功利用此漏洞可获得 root 级别的访问权限,这可能使威胁者能够安装持久性后门、窃取敏感网络流量,或转向内部网络段。
这一漏洞的发现与调查涉及多个国际网络安全机构之间前所未有的合作,其中包括澳大利亚信号局、澳大利亚网络安全中心、加拿大网络安全中心、英国国家网络安全中心(NCSC)以及美国网络安全与基础设施安全局(CISA)。
这种协同响应表明存在复杂的威胁行为者参与,可能是针对关键基础设施的国家支持的团体或高级持续性威胁(APT)组织。
未授权访问漏洞(CVE-2025-20362)
CVE-2025-20362是思科安全防火墙自适应安全设备(ASA)和安全防火墙威胁防御(FTD)软件的VPN Web服务器中存在的一个未经身份验证的未授权访问漏洞。
该漏洞的CVSS 3.1基础评分为6.5,被评为中等严重程度,它允许远程攻击者绕过身份验证并访问受限制的URL端点。
该漏洞源于VPN Web服务器处理的HTTP(S)请求中对用户提供的输入验证不当。具体而言,某些本应需要身份验证的URL端点未能执行访问检查。
攻击者精心构造了一个针对这些端点的恶意HTTP请求,无需任何有效的VPN凭证就能获取或操作敏感资源。
| 通用漏洞披露 | 标题 | CVSS 3.1评分 | 严重程度 |
| CVE-2025-20333 | 思科Secure Firewall ASA/FTD VPN Web服务器远程代码执行漏洞 | 严重 | |
| CVE-2025-20362 | 思科Secure Firewall ASA/FTD VPN Web服务器未授权访问漏洞 | 中等 |
缓解措施
思科强调,这些漏洞没有任何变通解决办法,因此立即进行软件更新是唯一可行的补救策略。
组织应优先使用思科的软件检查工具为所有受影响的ASA和FTD设备打补丁,以识别存在漏洞的版本和合适的修复版本。
该建议特别推荐使用“show running-config”命令检查VPN服务的威胁检测配置,以识别存在漏洞的配置。网络管理员应加强对异常VPN认证模式以及针对SSL VPN端点的异常HTTP请求的监控。
鉴于该漏洞处于被积极利用的状态且具有最高的严重级别,安全团队应将其视为需要紧急补丁程序的重大事件。
无法立即安装补丁的组织,如果操作上可行,应考虑暂时禁用存在漏洞的VPN配置,不过思科指出,这种方法可能会影响远程访问需求的业务连续性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
