立即修复:攻击者发现思科防火墙软件中的又一个零日漏洞
美国和英国网络安全机构周四警告称,必须立即修补思科系统特定防火墙中的一个关键零日漏洞。他们表示,对该漏洞的利用是针对这些设备及其他网络边界设备持续攻击的一部分。
英国国家网络安全中心(NCSC)称,思科此次警报是对去年曝光的针对边界网络设备的恶意活动(代号ArcaneDoor)的“重要更新”。美国网络安全和基础设施安全局(CISA)则发布了紧急指令,命令联邦部门识别、分析并缓解潜在威胁。
漏洞详情
新漏洞编号为CVE-2025-20363,思科表示该漏洞是由于对HTTP请求中用户提供输入验证不当造成的。
攻击者在获取系统额外信息、绕过漏洞利用缓解措施或同时达成这两个条件后,可通过向受影响设备上的目标Web服务发送精心构造的HTTP请求来利用此漏洞。成功利用可能允许攻击者以root权限执行任意代码,导致设备完全被控制。
受影响设备
受影响的设备包括运行以下软件的设备:
- Cisco Secure Firewall Adaptive Security Appliance(ASA)软件
- Cisco Secure Firewall Threat Defense(FTD)软件
- Cisco IOS、IOS XE和IOS XR软件
两种攻击场景
存在两种攻击场景:
- 未经身份验证的远程攻击者进入运行Cisco ASA和FTD软件且存在一个或多个易受攻击配置的设备,可执行任意代码;
- 具有低用户权限的经过身份验证的远程攻击者进入运行Cisco IOS、IOS XE或IOS XR的设备,可在受影响的思科设备上执行任意代码。但需注意,仅当启用远程访问SSL VPN功能时,运行IOS或IOS XE的设备才会受到影响;仅当在启用HTTP服务器的Cisco ASR 9001路由器上运行时,运行IOS XR的设备才会受到影响。
思科已发布修复此漏洞的软件更新,并强烈建议客户尽快升级到固定软件版本。目前没有可解决此问题的变通方案。
专家建议
英国网络安全中心首席技术官Ollie Whitehouse表示:“组织必须注意思科今天强调的建议措施,特别是在检测和修复方面。我们强烈鼓励网络防御者遵循供应商最佳实践,并参考NCSC的恶意软件分析报告以协助调查。”
ASA 5500-X系列遭受多重攻击
思科ASA 5500-X系列型号受到影响,但Whitehouse指出部分型号将从本月起停止支持。他表示,在可行的情况下,此类设备应被更换或升级,因为过时和停产设备对组织构成重大安全风险。
“系统和设备应及时迁移到现代版本,以解决漏洞并增强弹性,”他补充道。
事实上,思科周四还表示,已发现专门针对ASA 5500-X系列的新活动,涉及两个新漏洞:CVE-2025-20333、CVE-2025-20362,以及CVE-2025-20363。
在一份概述其应对攻击措施的背景报告中,该公司表示,在对确认遭入侵设备进行取证分析期间,发现威胁行为者有时会修改思科设备上的ROMMON固件。该固件作为低级引导加载程序和恢复工具,负责初始化硬件并加载主操作系统。修改它可使威胁行为者在重启和软件升级期间保持持久性。
然而,思科补充说,这些修改仅见于在安全启动和信任锚技术开发之前发布的ASA 5500-X系列平台。思科尚未在支持安全启动和信任锚的平台上观察到成功入侵、恶意软件植入或持久性机制的存在。
分析师建议:修补前将设备下线
加拿大事件响应公司DigitalDefence负责人Robert Beggs指出,8月份曾报告针对思科设备的大规模探测攻击。当时有人建议,这可能是广泛漏洞利用的前奏。“至少在这种情况下,思科漏洞是预料之中的,”他表示,“大规模设备探测的检测似乎是后续攻击的可靠预测指标。”
Beggs建议,由于攻击根源的漏洞均可被远程利用,受影响设备应在应用补丁并验证其到位之前下线。他补充说,CISA指令要求美国联邦机构在“近乎立即”的时间表内为所有面向公众的思科ASA硬件设备提供内存文件以供取证分析,这一点“发人深省且有些令人震惊”。
他表示,周四对思科产品关键漏洞的警告是在近期其他警报之后发布的,并指出今年夏天思科产品中还发现了其他几个关键漏洞。这些都是CSO实施零信任架构的有力论据,特别是根据产品对组织构成的风险来监控更新来源并应用更新。