跨大西洋警报：思科防火墙漏洞正被积极利用

英美两国网络安全机构就思科防火墙漏洞拉响警报，这些漏洞正被“高级威胁行为者”积极利用。

美国网络安全和基础设施安全局（CISA）周四发布紧急指令，称如果未及时修补思科自适应安全设备（ASA）和Firepower威胁防御（FTD）设备，将对政府系统构成“不可接受的风险”。联邦机构仅获24小时来识别受影响设备、检查日志是否遭入侵并应用思科修复程序。

CISA还警告称，任何将于9月30日终止支持的ASA设备不仅需要打补丁，更需要从网络中永久移除。

漏洞详情与攻击手法

英国国家网络安全中心也敦促组织修补这两个被追踪为CVE-2025-20333和CVE-2025-20362的漏洞，攻击者正利用它们“植入恶意软件、执行命令，并可能从受感染设备中窃取数据”。

思科于周四发布了漏洞补丁，并警告当这两个漏洞被串联利用时，攻击者可远程完全控制设备。

这家网络巨头还承认，早在5月份就已知道这些漏洞被利用，当时政府事件响应团队请求其协助调查ASA 5500-X防火墙遭入侵事件。攻击者当时已在投放植入程序、运行命令并窃取数据——这一细节使得长达数个月才发布广泛警报的做法更显尴尬。

与ArcaneDoor活动的关联

思科以“高度信心”评估这波攻击与去年报告的ArcaneDoor活动有关。该公司将此次活动描述为“高度针对性”，涉及旨在维持长期访问的自定义植入程序和持久化机制。

ArcaneDoor活动最初于2024年4月曝光，当时思科修补了ASA和FTD防火墙中的两个零日漏洞，这些漏洞已被用于入侵政府和电信网络。思科将此次活动归因于一个名为UAT4356的威胁组织，该组织自2023年11月以来一直滥用这些漏洞入侵全球政府系统。

“该行为者使用了定制工具，显示出明确的间谍活动重点以及对目标设备的深入了解，”该公司表示，并补充说该威胁组织具有“成熟国家支持行为者的特征”。

攻击溯源与关联发现

安全研究人员认为这些攻击特征看起来很熟悉。通过调查思科Talos标记的攻击者控制IP地址并与证书数据进行交叉比对，Censys发现了与中国主要网络的联系以及本土反审查软件的痕迹。

更糟糕的是，此次防火墙危机爆发不到24小时前，思科刚承认其IOS软件中另一个零日漏洞正被利用。对客户而言，这开始看起来不像运气不好，而更像是一种习惯。