威胁信号报告 | FortiGuard实验室

攻击描述

什么是攻击？

思科披露了一起针对思科自适应安全设备（ASA）的国家级赞助间谍活动。ASA设备广泛用于防火墙、VPN和安全功能。

• 初始通告（4月24日）： 攻击者利用ASA设备中两个先前未知的零日漏洞，入侵了全球范围内的政府实体。
• 部署的恶意软件： 入侵涉及两个自定义后门，“Line Runner”和“Line Dancer”，它们协同工作以：
  • 更改设备配置
  • 进行侦察
  • 捕获并外泄网络流量
  • 实现在受害者网络中的潜在横向移动
• 更新（2025年9月25日）： 思科观察到专门针对ASA 5500-X系列设备的新恶意活动。为此，它发布了针对三个新分配漏洞的补丁：
  • CVE-2025-20333
  • CVE-2025-20362
  • CVE-2025-20363

此活动突显了老练的对手持续利用广泛部署的思科安全设备中的零日漏洞进行武器化，以达到间谍活动和长期驻留的目的。

建议的缓解措施是什么？

根据思科的安全公告，初始攻击向量尚未确定；两个漏洞（CVE-2024-20353和CVE-2024-20359）已被确认。

强烈建议客户遵循思科安全公告中概述的说明：https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response

遵循CISA紧急指令：ED 25-03：识别并缓解思科设备的潜在入侵 | CISA

FortiGuard提供了哪些覆盖？

• FortiGuard入侵防护服务 可用于检测和阻止与ArcaneDoor攻击相关的漏洞利用尝试。入侵防护 | FortiGuard Labs
• FortiGuard网页过滤服务 可防护与此活动相关的恶意URL、域名、IP地址以及攻击者控制的其他基础设施（如思科公告中所识别）。
• FortiAnalyzer、FortiSIEM和FortiSOAR 利用通过“入侵指标（IoC）服务”提供的已知入侵指标（IoCs），以增强威胁狩猎、检测和自动响应能力——从而加强针对相关威胁活动的调查工作流和关联分析。FortiGuard实验室持续监控新出现的IoC，以确保主动防护。

同时，FortiGuard实验室强烈建议用户应用思科产品安全事件响应团队（PSIRT）提供的补丁。

怀疑已遭到入侵的组织可以联系FortiGuard事件响应团队，以获得快速调查和补救支持。

爆发警报

思科安全防火墙自适应安全设备（ASA）和思科安全防火墙威胁防御（FTD）软件中影响严重的零日漏洞已被在野积极利用。该活动分布广泛，涉及利用零日漏洞在ASA上获得未经身份验证的远程代码执行权限，以及操纵只读存储器（ROM）以实现重启和系统升级后的持久化驻留。此活动对受害网络构成重大风险。 查看完整的爆发警报报告

附加资源

• ArcaneDoor - 针对边界网络设备的新间谍活动（talosintelligence.com）
• 思科事件响应：针对思科防火墙平台的攻击
• ED 25-03：识别并缓解思科设备的潜在入侵 | CISA

发布日期 2024年4月24日

更新日期 2025年9月25日

标签

• Cisco ASA和FTD防火墙零日漏洞
• 威胁信号
• 攻击

CVE编号

• CVE-2024-20353
• CVE-2024-20359
• CVE-2025-20333
• CVE-2025-20362
• CVE-2025-20363

威胁行为者类型 间谍活动

遭遇入侵？我们随时提供帮助 FortiGuard事件响应服务

关于FortiGuard威胁信号 了解更多 »

入侵防护 Cisco ASA FTD webvpn_files 安全绕过 过去24小时: 405 趋势: -30%