思科零日漏洞风暴席卷防火墙与IOS系统

漏洞概述

思科近期披露了四款被积极利用的零日漏洞，影响数百万台设备，其中三个漏洞与先前发现的"ArcaneDoor"网络间谍活动背后的国家级攻击者有关。

受影响设备

防火墙设备

• 多款Cisco ASA 5500-X系列防火墙型号受影响
• 运行Cisco ASA Software 9.12或9.14版本且启用VPN Web服务的设备
• 具体型号包括：5512-X、5515-X、5525-X、5545-X、5555-X、5585-X
• 部分Cisco Firepower版本同样存在漏洞

IOS系统设备

• 影响Cisco IOS Software和Cisco IOS XE的SNMP子系统
• 至少200万台设备面临风险
• Meraki MS390和Cisco Catalyst 9300系列交换机也受影响

漏洞详情

关键远程代码执行漏洞

• CVE-2025-20333：CVSS评分9.9
• CVE-2025-20363：CVSS评分9.0

权限提升漏洞

• CVE-2025-20362：CVSS评分6.5，允许未经授权访问

SNMP子系统漏洞

• CVE-2025-20352：CVSS评分7.7
• 由于SNMP中的堆栈溢出条件导致
• 允许认证远程代码执行和拒绝服务攻击

攻击特征

攻击手法

• 利用零日漏洞在ASA设备上获得未经认证的远程代码执行权限
• 操纵只读内存实现在重启和系统升级后持久驻留
• 攻击者至少从2024年就开始成功修改ASA ROM

攻击者身份

• 与2024年初发现的ArcaneDoor活动相关的国家级APT组织
• 虽未正式归因于特定国家，但多个美国联邦机构已遭入侵

修复建议

紧急措施

• CISA要求联邦机构在2025年9月26日EST晚上11:59前完成更新
• 断开已终止支持设备的连接
• 升级仍在使用的设备

具体解决方案

• 升级到Cisco IOS XE 17.15.4a版本
• 如无法立即升级，实施咨询中概述的缓解措施
• 使用Cisco Software Checker检查易受攻击配置
• 禁用受影响的OID

风险分析

Qualys威胁研究部门安全研究经理Mayuresh Dani指出：“当您将遗留代码、大规模部署、重复出现的子系统缺陷、扩展的Web攻击面以及嵌入式系统挑战结合在一起时，就创造了一个完美的漏洞风暴。”

Sectigo高级研究员Jason Soroko补充说：“思科设备之所以吸引攻击者，是因为它们无处不在，位于网络瓶颈点，并在许多平台间共享代码。单个管理平面缺陷可能影响整个舰队。”

影响范围

这些漏洞的影响极为广泛，因为：

• 思科在企业环境中部署规模巨大
• 互联网暴露的管理界面，特别是许多组织在不信任接口上启用的Web UI
• 关键边缘设备的修补因变更控制和正常运行时间风险而放缓
• 攻击者在流量可见性、持久性和横向移动方面获益显著