思科警告：新型攻击变种持续打击防火墙已逾六个月

思科向客户发出警告，其防火墙正遭受新一轮攻击，这些设备已被入侵者持续攻击至少六个月。同时，该公司还修复了其统一联络中心Express（UCCX）软件中的两个关键漏洞——这些漏洞目前尚未被积极利用。

“2025年11月5日，思科发现针对运行受影响版本Cisco Secure ASA软件或Cisco Secure FTD软件设备的新型攻击变种”，Netzilla在周四的安全公告中指出。

这些新型攻击导致未修复的防火墙不断重新加载，造成拒绝服务状况，这是自5月以来针对易受攻击设备的一系列攻击中的最新进展。

漏洞背景与政府合作

思科最初在9月修复了这两个漏洞，当时英国国家网络安全中心和美国网络安全与基础设施安全局就发出警告，称有"高级威胁行为者"正在利用这些漏洞，受害者包括至少一个美国政府机构。

根据周四的公告，思科在5月开始与"为政府组织提供事件响应服务的多个政府机构"合作调查这些攻击，这些攻击被用于部署恶意软件、执行恶意命令，并"可能"从受感染设备窃取数据。

该公司还"为此调查专门组建了一个全职团队，与少数受影响客户密切合作"。

攻击技术细节

据警报称，“观察到攻击者利用了多个零日漏洞，并采用了高级规避技术，如禁用日志记录、拦截CLI命令以及故意崩溃设备以防止诊断分析”。

在某些情况下，攻击者修改了思科的引导程序ROM Monitor（ROMmon），以在重启和软件升级后保持持久性。

思科及美英政府机构已将早期利用活动及"新型变种"与ArcaneDoor攻击背后的政府支持威胁组织联系起来。这些攻击最早在2024年4月曝光，当时思科修复了ASA和FTD防火墙中的两个零日漏洞，这些漏洞已被用于入侵政府和电信网络。思科将此次活动归因于其命名为UAT4356的威胁组织。

自2024年以来，思科一直拒绝将此恶意活动归因于俄罗斯或中国等特定国家。一位发言人拒绝回答The Register关于新一轮攻击的问题，仅通过电子邮件重复了周四的安全警报。

关键漏洞：立即修复

同样在周四，这家网络巨头披露了其联络中心软件Unified CCX中的两个关键安全漏洞，这些漏洞允许远程、未经身份验证的攻击者上传任意文件、以root权限执行命令，或绕过身份验证以非root用户身份运行脚本。

这些被追踪为CVE-2025-20354和CVE-2025-20358的漏洞影响所有设备配置的思科统一CCX。供应商建议客户升级到修复版本（12.5 SU3 ES07或15.0 ES01）以修补漏洞。

CVE-2025-20354是一个评分为9.8的漏洞，存在于思科统一CCX的Java远程方法调用（RMI）过程中，原因是身份验证机制不当。

根据安全警报，“攻击者可以通过Java RMI进程向受影响系统上传特制文件来利用此漏洞。成功利用可能允许攻击者在底层操作系统上执行任意命令并将权限提升至root”。

CVE-2025-20358是同一产品中的身份验证绕过漏洞，同样获得关键的9.4 CVSS评分。这是由于CCX Editor与统一CCX服务器之间的身份验证不当所致。公告称：“攻击者可以通过将身份验证流重定向到恶意服务器，并欺骗CCX Editor使其相信身份验证已成功来利用此漏洞。”

滥用此漏洞允许恶意行为者在底层操作系统上以内部非root用户身份执行任意脚本。

虽然思科表示尚未发现针对这两个漏洞的野外攻击，但我们建议尽快安装补丁。