思科产品多重漏洞可导致远程代码执行

MS-ISAC 咨询编号： 2025-091
发布日期： 2025年9月25日

概述

在思科产品中发现了多个漏洞，其中最严重的可能允许远程代码执行。思科是一家领先的技术公司，以其网络硬件和软件（如路由器和交换机）而闻名，这些产品构成了互联网和企业网络的基础。成功利用这些漏洞中最严重的漏洞可能允许以root权限执行远程代码，这可能导致受影响设备的完全被控制。

思科产品安全事件响应团队（PSIRT）已知悉针对CVE-2025-20333和CVE-2025-20362的利用尝试。检测指南可在本咨询的参考资料部分找到。

政府机构：

企业：

家庭用户： 低

战术： 初始访问（TA0001）
技术： 利用面向公众的应用程序（T1190）

CVE-2025-20362：思科安全防火墙自适应安全设备（ASA）软件和思科安全防火墙威胁防御（FTD）软件的VPN Web服务器中存在漏洞，可能允许未经身份验证的远程攻击者在没有身份验证的情况下访问受限URL端点。此漏洞是由于HTTP(S)请求中用户提供输入验证不当造成的。
CVE-2025-20333：思科安全防火墙自适应安全设备（ASA）软件和思科安全防火墙威胁防御（FTD）软件的VPN Web服务器中存在漏洞，可能允许经过身份验证的远程攻击者在受影响设备上执行任意代码。具有有效VPN用户凭据的攻击者可通过向受影响设备发送特制HTTP请求来利用此漏洞。
CVE-2025-20363：思科安全防火墙自适应安全设备（ASA）软件、思科安全防火墙威胁防御（FTD）软件、思科IOS软件、思科IOS XE软件和思科IOS XR软件的Web服务中存在漏洞，可能允许未经身份验证的远程攻击者（思科ASA和FTD软件）或具有低用户权限的经过身份验证的远程攻击者（思科IOS、IOS XE和IOS XR软件）在受影响设备上执行任意代码。

成功利用这些漏洞中最严重的漏洞可能允许以root权限执行远程代码，这可能导致受影响设备的完全被控制。

我们建议采取以下措施：

立即应用更新：在适当测试后，立即将思科或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统。
- 保障措施7.1：建立和维护漏洞管理流程
- 保障措施7.2：建立和维护修复流程
- 保障措施7.4：执行自动化应用程序补丁管理
- 保障措施7.5：执行内部企业资产的自动化漏洞扫描
- 保障措施7.7：修复检测到的漏洞
- 保障措施12.1：确保网络基础设施是最新的
应用最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户身份运行所有软件。
- 保障措施4.7：管理企业资产和软件上的默认账户
- 保障措施5.5：建立和维护服务账户清单
执行漏洞扫描：使用漏洞扫描来查找潜在可利用的软件漏洞并进行修复。
- 保障措施16.13：执行应用程序渗透测试
实施网络分段：架构网络部分以隔离关键系统、功能或资源。
- 保障措施12.2：建立和维护安全的网络架构
启用利用防护：使用功能来检测和阻止可能导致或表明软件利用发生的条件。
- 保障措施10.5：启用反利用功能