英美敦促思科用户淘汰终端安全设备

持续针对思科自适应安全设备（ASA）系列统一威胁管理设备的网络攻击活动，已促使英美当局发出警告，要求用户立即停用并淘汰过时、不再受支持的设备。

漏洞详情

该警报源于技术中的两个独立漏洞：

第三个任意代码执行漏洞CVE-2025-20363也被发现，但不在本次特定警报范围内。

思科表示，这些问题影响运行Cisco ASA Software Release 9.12或9.14且启用VPN Web服务的Cisco ASA 5500-X系列型号，具体包括：

其中部分型号早在2017年就已达到终止支持状态，5512-X和5515-X自2022年起已停止支持。

英国国家网络安全中心（NCSC）强烈建议，在可行情况下，未来12个月内将停止支持的ASA型号应被替换，并指出过时的终端硬件可能带来重大风险。

NCSC首席技术官Ollie Whitehouse表示：“组织必须注意检测和修复建议措施。我们强烈鼓励网络防御者遵循供应商最佳实践，并参考NCSC的恶意软件分析报告协助调查。”

在美国网络安全和基础设施安全局（CISA）于9月27-28日周末前发布的紧急指令中，要求美国政府所有用户清查并更新Cisco ASA设备和同样受影响的Cisco Firepower设备。

CISA支持NCSC的警告，表示如果发现支持终止日期在2025年9月30日或之前的ASA硬件型号，应立即永久断开连接。

据思科称，最新漏洞正被ArcaneDoor活动背后的威胁行为者利用，该活动于2024年4月首次曝光，被认为是国家支持的威胁行为者所为。

此活动可追溯到更早时间，思科的Talos威胁情报部门在2023年11月发现了攻击者控制的基础设施，并在同年7月发现了先前漏洞利用的可能测试和开发活动。

思科表示已与多个受影响客户（包括政府机构）合作调查最新系列攻击。该公司描述这些攻击复杂精密，需要广泛响应，并补充说威胁行为者仍在积极扫描感兴趣的目标。

该活动与两种不同的恶意软件有关：Line Dancer（shellcode加载程序）和Line Runner（Lua webshell），它们协同工作使威胁行为者能够在ASA设备上实现其目标。