漏洞概述
思科安全公告披露,思科安全防火墙自适应安全设备(ASA)软件和思科安全防火墙威胁防御(FTD)软件的VPN Web服务器中存在一个远程代码执行漏洞(CVE-2025-20333)。该漏洞评级为关键级别,CVSS评分达9.9分。
漏洞详情
漏洞成因
此漏洞源于对HTTP(S)请求中用户提供输入的不当验证。拥有有效VPN用户凭证的攻击者可通过向受影响设备发送特制HTTP请求来利用此漏洞。成功利用可能允许攻击者以root权限执行任意代码,导致设备完全被控制。
更新信息
2025年11月5日,思科发现针对运行受影响版本Cisco Secure ASA软件或Cisco Secure FTD软件设备的新攻击变种。此攻击可导致未打补丁的设备意外重新加载,造成拒绝服务(DoS)状况。
受影响产品
易受攻击的产品配置
此漏洞影响运行易受攻击版本Cisco Secure Firewall ASA软件或Cisco Secure FTD软件并具有以下任一配置的设备:
Cisco Secure Firewall ASA软件易受攻击配置:
| 功能特性 | 可能的易受攻击配置 |
|---|---|
| AnyConnect IKEv2远程访问(带客户端服务) | crypto ikev2 enable <接口名称> client-services port <端口号> |
| 移动用户安全(MUS) | webvpn mus password mus server enable <端口号> mus <IPv4地址> <IPv4掩码> <接口名称> |
| SSL VPN | webvpn enable <接口名称> |
Cisco Secure Firewall FTD软件易受攻击配置:
| 功能特性 | 可能的易受攻击配置 |
|---|---|
| AnyConnect IKEv2远程访问(带客户端服务) | crypto ikev2 enable <接口名称> client-services port <端口号> |
| AnyConnect SSL VPN | webvpn enable <接口名称> |
不受影响的产品
思科已确认此漏洞不影响Cisco Secure FMC软件。
修复方案
固定软件版本
思科强烈建议客户升级到本公告中指示的固定软件版本:
Cisco Secure Firewall ASA软件版本9.12和9.14:
- 对于运行Cisco Secure Firewall ASA软件版本9.12或9.14的Cisco ASA 5500-X系列型号,使用隐藏的Cisco Secure Firewall ASA软件版本9.12.4.72或9.14.4.28
- 对于所有其他平台,使用Cisco软件检查器确定首个修复版本
软件检查器
客户可使用Cisco软件检查器确定其软件版本是否受此漏洞影响,并找到相应的修复版本。
安全建议
安装修复版本后,建议客户查看《Cisco Secure Firewall ASA防火墙CLI配置指南》中的"为VPN服务配置威胁检测"部分,获取针对远程访问VPN登录认证攻击、客户端初始化攻击以及尝试连接到无效VPN服务的防护指导。
漏洞利用情况
思科产品安全事件响应团队(PSIRT)已发现此漏洞的利用尝试。思科继续强烈建议客户升级到固定软件版本来修复此漏洞。
漏洞来源
此漏洞是在解决Cisco技术援助中心(TAC)支持案例期间发现的。
思科感谢以下组织对此调查的支持:
- 澳大利亚信号局澳大利亚网络安全中心
- 加拿大网络安全中心
- 英国国家网络安全中心(NCSC)
- 美国网络安全和基础设施安全局(CISA)