思科ASA 0-Day RCE漏洞正被野外积极利用
思科Secure Firewall自适应安全设备(ASA)软件和Secure Firewall威胁防御(FTD)软件中存在一个关键零日漏洞,目前正被野外积极利用。
该漏洞被追踪为CVE-2025-20333,属于远程代码执行(RCE)漏洞,允许经过身份验证的攻击者在受影响设备上以root权限执行任意代码。
思科于2025年9月25日发布安全公告,敦促所有用户立即更新至修复版本。目前不存在有效的临时解决方案。
| CVE ID | 严重等级 | CVSS 3.1评分 | CWE |
|---|---|---|---|
| CVE-2025-20333 | 严重 | 9.9 | CWE-120 |
| CVE-2025-20362 | 中等 | 6.5 | CWE-862 |
漏洞技术分析
思科在ASA和FTD软件的VPN Web服务器组件中发现此问题。该漏洞源于对HTTP(S)请求中用户输入数据验证不当。
拥有有效VPN凭证的攻击者可以向VPN Web门户发送特制请求触发代码执行。成功利用将获得root权限,导致系统完全沦陷。
除了关键RCE漏洞外,思科还报告了一个中等严重性漏洞CVE-2025-20362。该问题允许未经身份验证的攻击者在缺乏适当访问检查的情况下访问受限URL端点。
虽然这不会直接导致代码执行,但会破坏访问控制机制,可能成为后续攻击的跳板。
影响范围与风险配置
受影响设备包括所有运行易受攻击版本且启用webvpn或AnyConnect IKEv2远程访问功能的ASA或FTD系统。
以下特定配置存在风险:
crypto ikev2 enable <interface> client-services port <port_numbers>webvpn enable <interface>
启用远程访问VPN的思科Secure Firewall管理中心(FMC)和设备管理器(FDM)配置也会使FTD设备暴露风险。
修复建议
思科已确认Secure FMC软件不受影响。客户应使用思科软件检查器识别受影响版本并确定首个修复版本。
安全公告(cisco-sa-asaftd-webvpn-z5xP8EUB)的"修复软件"部分提供升级指导和修复版本号。思科强烈建议客户尽快升级至修复版本,目前不存在完全缓解这些漏洞的临时解决方案。
更新后应检查VPN服务的威胁检测设置,防范暴力登录尝试、客户端初始化攻击和无效服务连接。详细说明参见《思科Secure Firewall ASA CLI配置指南》中的"配置VPN服务威胁检测"章节。
思科PSIRT正在追踪CVE-2025-20333的野外利用尝试,鼓励用户快速打补丁。该漏洞是在思科TAC支持案例中发现,目前已被野外利用。
安全团队应优先为ASA和FTD设备打补丁,防止潜在的系统完全接管风险。