思科产品多重漏洞可能导致远程代码执行
MS-ISAC 咨询编号: 2025-091
发布日期: 2025年9月25日
概述
思科产品中发现多个漏洞,其中最严重的可能允许远程代码执行。思科是一家领先的技术公司,以其网络硬件和软件(如路由器和交换机)闻名,这些设备构成了互联网和企业网络的基础。成功利用其中最严重的漏洞可能允许以root权限执行远程代码,从而导致受影响设备完全被攻陷。
威胁情报
思科产品安全事件响应团队(PSIRT)已发现针对CVE-2025-20333和CVE-2025-20362的利用尝试。检测指南可在本咨询的参考资料部分找到。
受影响系统
- 思科安全防火墙ASA软件
- 思科安全FTD软件
- 思科安全FMC软件
- 思科IOS和IOS XE软件
- 思科IOS XR软件
风险等级
政府机构:
- 大中型政府实体:高风险
- 小型政府实体:中等风险
企业:
- 大中型企业实体:高风险
- 小型企业实体:中等风险
家庭用户: 低风险
技术详情
战术:初始访问(TA0001) 技术:利用面向公众的应用程序(T1190)
-
CVE-2025-20362:思科安全防火墙自适应安全设备(ASA)软件和思科安全防火墙威胁防御(FTD)软件的VPN Web服务器中存在漏洞,可能允许未经身份验证的远程攻击者访问本应需要身份验证才能访问的限制URL端点。此漏洞是由于HTTP(S)请求中用户提供输入验证不当造成的。
-
CVE-2025-20333:思科安全防火墙自适应安全设备(ASA)软件和思科安全防火墙威胁防御(FTD)软件的VPN Web服务器中存在漏洞,可能允许经过身份验证的远程攻击者在受影响设备上执行任意代码。拥有有效VPN用户凭证的攻击者可通过向受影响设备发送特制HTTP请求来利用此漏洞。
-
CVE-2025-20363:思科安全防火墙自适应安全设备(ASA)软件、思科安全防火墙威胁防御(FTD)软件、思科IOS软件、思科IOS XE软件和思科IOS XR软件的Web服务中存在漏洞,可能允许未经身份验证的远程攻击者(思科ASA和FTD软件)或具有低用户权限的经过身份验证的远程攻击者(思科IOS、IOS XE和IOS XR软件)在受影响设备上执行任意代码。
成功利用其中最严重的漏洞可能允许以root权限执行远程代码,从而导致受影响设备完全被攻陷。
修复建议
我们建议采取以下措施:
-
立即应用补丁:在适当测试后,立即将思科或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统。
-
漏洞管理:
- 建立并维护企业资产的漏洞管理流程
- 建立并维护基于风险的修复策略
- 每月或更频繁执行自动应用程序补丁管理
- 季度或更频繁执行内部企业资产的自动漏洞扫描
- 每月或更频繁修复检测到的漏洞
-
网络基础设施更新:确保网络基础设施保持最新状态,每月或更频繁审查软件版本以验证软件支持。
-
渗透测试:
- 建立并维护渗透测试计划
- 每年至少执行一次定期外部渗透测试
- 修复渗透测试发现的问题
-
最小权限原则:将所有系统和服务应用最小权限原则,以非特权用户身份运行所有软件。
-
漏洞扫描:使用漏洞扫描查找潜在可利用的软件漏洞并进行修复。
-
网络分段:架构网络部分以隔离关键系统、功能或资源,使用物理和逻辑分段。
-
利用防护:使用功能检测和阻止可能导致或表明软件利用发生的条件。
参考资料
- CISA:https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices
- CVE:
- 思科安全公告:
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW#vp
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
- 持续攻击检测指南