思科安全防火墙自适应安全设备软件和安全防火墙威胁防御软件VPN Web服务器未授权访问漏洞

咨询ID: cisco-sa-asaftd-webvpn-YROOTUW
首次发布: 2025年9月25日 16:00 GMT
最后更新: 2025年11月6日 15:50 GMT
版本: 2.1
状态: 最终

漏洞概述

更新：2025年11月5日，思科发现针对运行受影响Cisco Secure ASA软件或Cisco Secure FTD软件版本设备的新攻击变种，该攻击可导致未打补丁的设备意外重新加载，造成拒绝服务（DoS）条件。

思科安全防火墙自适应安全设备（ASA）软件和思科安全防火墙威胁防御（FTD）软件的VPN Web服务器中存在漏洞，可能允许未经身份验证的远程攻击者访问与远程访问VPN相关的受限URL端点，这些端点在未经身份验证的情况下本应无法访问。

此漏洞是由于HTTP(S)请求中用户提供输入验证不当所致。攻击者可通过向目标设备上的Web服务器发送特制HTTP请求来利用此漏洞。成功利用可能允许攻击者在未经身份验证的情况下访问受限URL。

思科已发布修复此漏洞的软件更新。思科继续强烈建议客户升级到固定的软件版本来修复此漏洞。目前没有可用的临时解决方案。

受影响的产品

易受攻击的产品

在发布时，如果Cisco设备运行易受攻击的Cisco Secure Firewall ASA软件或Cisco Secure FTD软件版本，并具有以下两个表中列出的一个或多个易受攻击配置，则会受到此漏洞的影响。

Cisco Secure Firewall ASA软件易受攻击配置

Cisco Secure FTD软件易受攻击配置

远程访问VPN功能通过Cisco Secure Firewall Management Center (FMC) 软件中的"Devices > VPN > Remote Access"或Cisco Secure Firewall Device Manager (FDM) 中的"Device > Remote Access VPN"启用。

确认不受影响的产品

只有本咨询的"易受攻击的产品"部分中列出的产品已知会受此漏洞影响。思科已确认此漏洞不影响Cisco Secure FMC软件。

临时解决方案

目前没有可用的临时解决方案来解决此漏洞。

修复软件

Cisco Secure Firewall ASA软件版本9.12和9.14

对于运行Cisco Secure Firewall ASA软件版本9.12或9.14的以下Cisco ASA 5500-X系列型号，使用隐藏的Cisco Secure Firewall ASA软件版本9.12.4.72或9.14.4.28：

• 5512-X和5515-X - 最后支持日期：2022年8月31日
• 5525-X、5545-X和5555-X - 最后支持日期：2025年9月30日
• 5585-X - 最后支持日期：2023年5月31日

Cisco Secure Firewall ASA软件版本9.12.4.72和9.14.4.28可从Cisco软件下载中心获取。这些是Cisco Secure Firewall ASA软件版本9.12和9.14的最终版本。

软件检查器

为了帮助客户确定其Cisco Secure Firewall ASA、Secure FMC和Secure FTD软件中的漏洞暴露情况，思科提供了Cisco软件检查器。该工具识别影响特定软件版本的所有Cisco安全咨询，以及修复每个咨询中描述漏洞的最早版本（“首次修复”）。

建议

安装修复版本后，建议客户查看《Cisco Secure Firewall ASA防火墙CLI配置指南》中的"为VPN服务配置威胁检测"部分。该部分将提供有关启用针对远程访问VPN登录认证攻击、客户端初始化攻击以及尝试连接到无效VPN服务的保护的指导。

漏洞利用和公开声明

Cisco PSIRT已知悉此漏洞的尝试利用。思科继续强烈建议客户升级到固定的软件版本来修复此漏洞。

漏洞来源

此漏洞是在解决Cisco TAC支持案例期间发现的。

技术详情

CVE: CVE-2025-20362
CWE: CWE-862（缺失授权）
CVSS评分: 6.5
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N/E:X/RL:X/RC:X

修订历史