英美敦促思科用户淘汰终端安全设备

一场持续进行的网络攻击活动通过思科自适应安全设备（ASA）系列统一威胁管理设备中的漏洞展开，促使英美当局警告用户立即停用并淘汰过时、已停止支持的设备。

思科ASA是多功能安全设备系列，在2000年代推出时整合了思科此前以独立形式提供的多种功能，包括防火墙、入侵防御和虚拟专用网络。该设备至今仍被广泛使用，特别是在中小型企业中。

该警报源于该技术中的两个不同漏洞——CVE-2025-20333（支持远程代码执行）和CVE-2025-20362（支持权限提升）。第三个任意代码执行漏洞CVE-2025-20363也被发现，但不在本次特定警报范围内。

思科表示，这些问题影响运行思科ASA软件版本9.12或9.14且启用VPN Web服务的思科ASA 5500-X系列型号。涉及的特定型号包括5512-X、5515-X、5525-X、5545-X、5555-X和5585-X，其中部分型号已在2017年达到生命周期终点。其中5512-X和5515-X两款设备自2022年起已停止支持。

英国国家网络安全中心（NCSC）强烈建议，在可行情况下，未来12个月内将停止支持的ASA型号应被替换，并指出过时、生命周期终止的硬件可能带来的重大风险。

NCSC首席技术官Ollie Whitehouse表示：“组织必须注意强调的建议措施，特别是在检测和修复方面。我们强烈鼓励网络防御者遵循供应商最佳实践，并参考NCSC的恶意软件分析报告以协助调查。”

“生命周期终止技术对组织构成重大风险。系统和设备应及时迁移到现代版本，以解决漏洞并增强弹性，“他补充道。

在9月27-28日周末前发布的紧急指令中，美国网络安全和基础设施安全局（CISA）指示美国政府所有用户清点并更新思科ASA设备以及同样受影响的思科Firepower设备。

CISA支持NCSC的警告，表示如果发现支持终止日期在2025年9月30日或之前的ASA硬件型号，这些设备应立即永久断开连接。

“CISA表示：‘这些传统平台和/或版本无法满足当前供应商支持和更新要求。’”

问题所在

据思科称，最新漏洞正被ArcaneDoor活动背后的威胁行为者利用，该活动于2024年4月首次曝光，被认为是国家支持的威胁行为者所为。

该活动可追溯到此前几个月，思科的Talos威胁情报部门在2023年11月发现了攻击者控制的基础设施活跃，并在同年7月发现了先前漏洞利用的可能测试和开发活动。

思科表示已与多个受影响客户（包括政府机构）合作调查最新系列攻击一段时间。该公司将攻击描述为复杂和精密，需要广泛响应，并补充说威胁行为者仍在积极扫描感兴趣的目标。

该活动与两种不同的恶意软件有关，分别名为Line Dancer和Line Runner，这两种恶意软件曾是2024年警报的主题。Line Dancer（shellcode加载程序）和Line Runner（Lua webshell）协同工作，使威胁行为者能够在ASA设备上实现其目标。