思科确认Secure ASA和FTD远程代码执行漏洞正遭主动利用
思科发布关键警告:针对影响其Secure Firewall、Adaptive Security Appliance和Threat Defense Software的严重远程代码执行漏洞的持续攻击正在进行中。
该公司于2025年11月5日更新了安全公告,透露威胁行为者发现了一种新的攻击变种,能够完全控制未打补丁系统上的设备。
| 属性 | 详情 |
|---|---|
| CVE ID | CVE-2025-20333 |
| 漏洞类型 | 缓冲区溢出 (CWE-120) |
| 受影响产品 | 思科Secure Firewall ASA软件、思科Secure Firewall FTD软件 |
| 思科Bug ID | CSCwq79831 |
| CVSS v3.1评分 | 9.9(严重) |
该漏洞追踪为CVE-2025-20333,影响思科Secure ASA和Secure FTD防火墙平台中的VPN Web服务器组件。
经过身份验证的远程攻击者可利用HTTP请求中的不当输入验证,在受影响设备上以root权限执行任意代码。
这对依赖这些防火墙进行网络边界防御的组织构成了重大风险,因为成功利用可能允许攻击者绕过所有安全控制。
漏洞利用详情与影响
思科在11月初发现了一种新的攻击变种,专门针对运行易受攻击版本ASA和FTD软件的设备。
该变种导致未打补丁的设备重新加载,造成拒绝服务状况,意外中断网络运营。
该漏洞需要有效的VPN用户凭据才能利用,这意味着攻击者必须首先通过网络钓鱼、凭据盗窃或内部威胁获取合法的身份验证详细信息。
运行启用VPN功能的思科Secure Firewall ASA软件或Secure FTD软件的组织面临直接风险。
易受攻击的配置包括具有客户端服务的AnyConnect IKEv2远程访问、移动用户安全实施和SSL VPN部署。
攻击能够实现完全设备控制的能力使这一问题尤其令人担忧,因为攻击者可以修改防火墙规则、重定向流量或建立持久后门。
缓解措施
思科已发布修复的软件版本,并强烈建议所有客户立即升级。没有可用的变通方案来缓解此漏洞,打补丁是唯一可行的修复方法。
不确定自身受影响情况的组织可以使用思科的软件检查器工具来验证其特定软件版本是否受影响,并确定最早可用的修复版本。
应用补丁后,思科建议审查VPN威胁检测配置,以启用针对远程访问VPN登录身份验证攻击、客户端发起攻击和无效VPN服务连接尝试的保护。
这种额外的加固将为类似攻击向量提供深度防御。