思科ASA零日漏洞在复杂攻击中被利用

美国、英国、加拿大和澳大利亚网络安全机构联合披露了一起广泛针对思科自适应安全设备（ASA）零日漏洞的攻击活动。

攻击背景

据信，此次攻击背后的嫌疑人是受国家支持的威胁行为者，与2023-2024年期间实施ArcaneDoor攻击活动的组织相同。当时攻击者使用定制恶意软件禁用日志记录、阻止崩溃转储生成（“Line Dancer”），并安装可在重启和升级后持续存在的后门（“Line Runner”）。

被利用的漏洞

思科于周四发布三份安全公告，详细说明三个漏洞，其中两个已被威胁行为者利用：

• CVE-2025-20362 影响思科安全防火墙自适应安全设备（ASA）软件和思科安全防火墙威胁防御（FTD）软件的VPN Web服务器，允许未经身份验证的远程攻击者无需认证即可访问受限URL端点
• CVE-2025-20333 同样影响相同软件的VPN Web服务器，允许经过身份验证的远程攻击者在受影响设备上执行任意代码

思科指出：“收集到的证据强烈表明，攻击者在当前攻击活动中使用了CVE-2025-20333和CVE-2025-20362漏洞。“这些漏洞的可利用性取决于特定功能是否启用或存在特定配置。

第三个远程代码执行漏洞CVE-2025-20363影响上述软件，以及运行在各种传统和现代企业网络设备及高端运营商级路由器上的IOS、IOS XE和IOS XR软件。虽然该漏洞是在攻击调查期间发现的，但目前没有迹象表明已被利用。

攻击详情

思科表示：“2025年5月，多个为政府组织提供事件响应服务的政府机构联系思科，支持调查针对某些思科自适应安全设备（ASA）5500-X系列设备的攻击。这些设备运行思科安全防火墙ASA软件并启用了VPN Web服务，攻击者通过植入恶意软件、执行命令并可能从受感染设备窃取数据。”

思科调查人员使用具有增强检测功能的检测镜像，帮助客户分析来自受感染环境的数据包捕获，并分析从受感染设备提取的固件。

他们发现，与ArcaneDoor攻击活动类似，威胁行为者利用了多个零日漏洞，并使用了高级规避技术，如禁用日志记录、拦截CLI命令以及故意崩溃设备以防止诊断分析。

公司分享道：“在对确认受感染设备的取证分析过程中，思科观察到威胁行为者在某些情况下修改了ROMMON，以实现在重启和软件升级后保持持久性。“ROMMON是存储在ROM中的低级引导程序，在ASA操作系统之前运行。

这些特定修改仅针对在Secure Boot和Trust Anchor技术开发之前发布的Cisco ASA 5500-X系列平台：5512-X、5515-X、5525-X、5545-X、5555-X和5585-X。思科指出，支持这些技术的较新型号Cisco ASA 5500-X系列未通过零日漏洞被攻破，其ROMMON也未被修改。此外，没有证据表明任何运行思科安全防火墙威胁防御（FTD）软件的设备被成功入侵。

应对措施

思科已建议运行易受攻击设备的组织采取行动，美国网络安全和基础设施安全局（CISA）发布紧急指令，要求美国联邦机构：

• 识别所有运行的Cisco ASA和Cisco Firepower设备实例
• 在9月26日美国东部时间晚上11:59之前收集内存文件并传输给CISA进行取证分析
• 应用思科提供的补丁并断开已终止支持设备的连接
• 搜寻被入侵的账户

具体操作说明可在相关链接中找到。

英国国家网络安全中心分享了他们对攻击者使用恶意软件的分析：

• RayInitiator - 持久性多阶段引导工具包，可在重启和固件升级后存活
• LINE VIPER - 用户模式shellcode加载器及相关模块，能够执行CLI命令、执行数据包捕获、绕过AAA认证、抑制系统日志消息、收集用户CLI命令并强制延迟重启

他们还提供了检测脚本。NCSC指出：“RayInitiator和LINE VIPER恶意软件相比之前活动中使用的恶意软件在复杂度和逃避检测能力方面都有显著进化。强烈建议组织遵循思科的修复建议，包括应用安全更新，并向NCSC报告任何入侵证据。由于部分Cisco ASA 5500-X系列型号将在2025年9月和2026年8月终止支持，NCSC强烈建议在可行的情况下更换或升级这些设备。”