紧急修复:攻击者发现Cisco防火墙软件又现零日漏洞
美国与英国网络安全机构于周四警告,必须立即修补特定Cisco系统防火墙中的关键零日漏洞。这些机构指出,攻击者正利用该漏洞对网络边界设备发起持续攻击。
英国国家网络安全中心(NCSC)将Cisco此次警报称为针对边界网络设备的恶意活动"ArcaneDoor"的"重大更新"。美国网络安全与基础设施安全局(CISA)则发布紧急指令,要求联邦部门识别、分析并缓解潜在威胁。
漏洞技术细节
新漏洞编号CVE-2025-20363,源于对HTTP请求中用户输入数据的验证不当。攻击者在获取系统信息或突破漏洞缓解措施后,可向受影响设备的Web服务发送特制HTTP请求,成功利用后可获得root权限执行任意代码,导致设备被完全控制。
受影响设备范围
- 运行Cisco Secure Firewall Adaptive Security Appliance(ASA)软件的设备
- 运行Cisco Secure Firewall Threat Defense(FTD)软件的设备
- 运行Cisco IOS、IOS XE和IOS XR软件的设备(需满足特定配置条件)
两种攻击场景
- 未认证远程攻击:针对配置存在漏洞的ASA/FTD设备,可直接执行任意代码
- 低权限认证攻击:针对启用SSL VPN功能的IOS/XE设备或启用HTTP服务的ASR 9001路由器
修复与应对措施
Cisco已发布软件更新,强烈建议客户立即升级。英国NCSC首席技术官Ollie Whitehouse强调:“组织必须重点关注Cisco推荐的检测与修复措施,遵循供应商最佳实践。”
针对ASA 5500-X系列的新型攻击
调查发现攻击者专门针对ASA 5500-X系列使用三个漏洞(CVE-2025-20333/20362/20363),并通过修改ROMMON固件实现持久化攻击。但支持安全启动技术的设备未出现成功入侵案例。
专家建议
加拿大事件响应公司DigitalDefence负责人Robert Beggs建议:由于漏洞可被远程利用,受影响设备应在打补丁前离线处理。CISA要求联邦机构立即提交面向公网的Cisco ASA设备内存文件进行取证分析,凸显事态严重性。
这是今夏Cisco产品曝出的又一批关键漏洞,进一步佐证了企业部署零信任架构的必要性。