CISA命令紧急修复Cisco防火墙零日漏洞
美国网络安全和基础设施安全局(CISA)发布了一项紧急指令,要求联邦机构立即修复影响Cisco自适应安全设备(ASA)和部分Firepower平台的两个关键零日漏洞。
这些漏洞已被积极利用,对联邦信息系统和企业构成严重风险。
漏洞详情
CISA在公告中表示,利用这些漏洞可使攻击者实现"未经身份验证的远程代码执行"和权限提升,使高级威胁行为者能够在系统重启和升级后保持持久访问。
CVE-2025-20333(CVSS 9.8 - 严重)
此漏洞允许未经身份验证的远程代码执行(RCE)。攻击者可通过互联网向易受攻击的ASA设备发送特制请求,无需登录即可执行恶意代码。
由于不需要身份验证,攻击面扩展到任何暴露的ASA设备。一旦实现RCE,攻击者可以植入恶意软件、创建后门或破坏防火墙操作。
CVE-2025-20362(CVSS 7.2 - 高危)
此漏洞允许权限提升。获得初始访问权限的攻击者可以将权限提升到root级别控制。这使他们能够无限制地修改系统文件、禁用安全控制并保持长期持久性。
当这两个漏洞结合使用时,形成强大的攻击链:攻击者可以绕过身份验证、获得完全管理权限,然后修改防火墙的只读内存(ROM)。通过修改ROM,攻击者可以在重启甚至固件升级后仍然保持访问,使得在不完全停用或重新刷新硬件的情况下极难清除威胁。
影响范围
- 联邦机构:CISA的指令强调政府系统是主要目标,因为其在国家安全和关键基础设施中的敏感作用
- 私营组织:任何使用Cisco ASA或Firepower设备的企业也面临风险,特别是如果设备暴露在互联网上而没有适当的分段或监控
与ArcaneDoor活动的关联
Cisco和CISA评估这些漏洞利用与2024年首次检测到的ArcaneDoor活动有关。
在该活动中,高级国家支持的行为者展示了大规模操纵Cisco ASA ROM的能力,表明其建立高价值网络中隐蔽持久访问的长期战略。这些最新漏洞表明相同的战术正在被积极操作。
风险缓解措施
为防御Cisco ASA和Firepower零日威胁,组织应快速行动并遵循以下关键缓解措施:
- 立即修补:尽可能在Cisco补丁发布后48小时内应用
- 停用旧设备:断开已终止支持的ASA设备
- 搜索威胁:运行取证检查以查找ROM篡改或异常
- 限制暴露:将管理接口限制为受信任网络/VPN
- 监控和记录:跟踪管理员/root活动并启用IDS/IPS规则
- 提前规划:维护清单、更换老化设备并更新事件响应预案
联邦政府以外的组织也应立即应用Cisco的补丁、监控日志中的异常活动,并进行事件响应桌面演练,为专注于持久性的对手做好准备。
更广泛的背景
此活动突显了围绕网络基础设施零日漏洞不断演变的威胁态势。
攻击者不仅利用软件漏洞,还在固件级别开发持久性技术。此类战术反映了近年来重塑企业安全优先级的其他供应链和基础设施重点活动。
对手能够修改ROM以在重启后存活的事实表明战略转向长期隐蔽访问。
Cisco全年一直保持高度警惕。就在两个月前,该公司修补了影响其身份服务的三个关键漏洞。