持续网络攻击瞄准淘汰设备
英美网络安全机构联合发布警告,针对Cisco自适应安全设备(ASA)系列统一威胁管理设备的持续网络攻击活动,正通过已曝光的漏洞实施攻击,建议用户立即停用并淘汰过时、失去技术支持的老旧设备。
受影响设备与漏洞详情
Cisco ASA是多功能安全设备系列,自2000年代推出以来整合了防火墙、入侵防御和虚拟专用网络等功能,至今仍在中小企业中广泛使用。本次警报涉及该技术的两个独立漏洞:
- CVE-2025-20333:支持远程代码执行(RCE)
- CVE-2025-20362:支持权限提升(EoP) 另有一个任意代码执行漏洞CVE-2025-20363已被发现,但不在本次特定警报范围内。
受影响的设备包括运行Cisco ASA软件版本9.12或9.14且启用VPN Web服务的Cisco ASA 5500-X系列型号(5512-X、5515-X、5525-X、5545-X、5555-X和5585-X)。其中部分型号早在2017年已到达生命周期终止状态,5512-X和5515-X两款设备自2022年起已失去技术支持。
官方紧急响应措施
英国国家网络安全中心(NCSC)强烈建议,在未来12个月内将失去技术支持的ASA设备替换为新型设备,并强调淘汰硬件带来的重大风险。NCSC首席技术官Ollie Whitehouse表示:“组织必须关注检测和修复建议措施,遵循供应商最佳实践并参考NCSC恶意软件分析报告。生命周期终止技术会带来显著风险,应及时迁移至现代版本以修复漏洞并增强韧性。”
美国网络安全和基础设施安全局(CISA)在9月27-28日周末前发布紧急指令,要求美国政府所有用户清点并更新受影响的Cisco ASA和Firepower设备。CISA支持NCSC的警告,强调若发现技术支持终止日期在2025年9月30日及之前的ASA硬件型号,应立即永久断开连接,因为“这些传统平台和/或版本无法满足当前供应商支持和更新要求”。
攻击活动背景与恶意软件
根据Cisco分析,最新漏洞正被ArcaneDoor行动背后的威胁攻击者利用。该活动最初于2024年4月曝光,被认为是国家级攻击者所为,实际活动可追溯至2023年11月。Cisco Talos威胁情报部门发现攻击者控制的基础设施在当时已活跃,同年7月可能已开展漏洞测试和开发活动。
Cisco表示已与包括政府机构在内的多个受影响客户合作调查最新攻击系列,描述这些攻击复杂精密且需要广泛响应,威胁攻击者仍在积极扫描目标。该行动与两款恶意软件相关联:
- Line Dancer:Shellcode加载程序
- Line Runner:Lua网页外壳 两者协同工作使威胁攻击者能在ASA设备上实现其目标。
行业现状与应对建议
调查显示,专业服务领域存在显著脱节:尽管SaaS和云策略近乎普及,但核心网络和安全服务未能通过SASE等技术同步跟进。在Cisco Live 2025大会上,网络专业人士指出网络安全需彻底变革以跟上AI发展,包括更新零信任网络访问(ZTNA)和防火墙实践。随着Cisco收购Splunk已过18个月,联合平台能力正在年度Splunk.conf大会上展示。
行动建议:
- 立即清点网络中所有Cisco ASA设备
- 确认设备技术支持状态和生命周期时间表
- 对达到生命周期终止的设备制定迁移计划
- 遵循供应商安全最佳实践更新受支持设备
- 参考NCSC和CISA发布的检测与修复指南