CISA命令机构修补思科零日攻击漏洞

作者：Sergiu Gatlan
2025年9月25日 下午01:52

CISA已发布新的紧急指令，要求美国联邦机构保护其思科防火墙设备，防范两个已被零日攻击利用的漏洞。

紧急指令25-03于9月25日向联邦民事行政部门(FCEB)机构发布，要求其修补自适应安全设备(ASA)和防火墙威胁防御(FTD)软件中的CVE-2025-20333和CVE-2025-20362漏洞。

CISA今日警告称：“该攻击活动范围广泛，涉及利用零日漏洞在ASA设备上获得未经认证的远程代码执行权限，并通过操纵只读内存(ROM)实现在重启和系统升级后持久化。此活动对受害网络构成重大风险。”

“CISA指示各机构清点所有思科ASA和Firepower设备，通过CISA提供的程序和工具收集取证并评估是否受损，断开已终止支持设备的连接，并升级将继续使用的设备。”

美国网络安全机构现要求所有FCEB机构在9月26日美国东部时间中午12点前，识别网络上所有思科ASA和Firepower设备，将所有受损设备与网络断开，并对未显示恶意活动迹象的设备进行修补。

此外，CISA命令各机构必须在9月30日前将即将终止支持的ASA设备永久断开网络连接。

英国国家网络安全中心(NCSC)表示，攻击者正针对未启用安全启动的5500-X系列设备，部署LINE VIPER用户模式shellcode加载器恶意软件和名为"RayInitiator"的GRUB引导工具包（可在重启和固件升级后存活），“以植入恶意软件、执行命令并可能从受感染设备窃取数据。”

与ArcaneDoor攻击活动关联

思科今日早些时候发布了修复两个安全漏洞的安全更新，表示CVE-2025-20333可让经过认证的攻击者在易受攻击的设备上远程执行代码，而CVE-2025-20362使远程威胁行为者无需认证即可访问受限URL端点。

当这两个漏洞被串联利用时，未经认证的攻击者可远程完全控制未修补的设备。

思科今日表示：“观察到攻击者利用了多个零日漏洞，并采用高级规避技术，如禁用日志记录、拦截CLI命令以及故意使设备崩溃以防止诊断分析。“并补充说攻击针对启用了VPN Web服务的5500-X系列设备。

“在对确认受损设备进行取证分析期间，思科在某些案例中观察到威胁参与者修改ROMMON以实现跨重启和软件升级的持久化。”

CISA和思科将这些持续攻击与ArcaneDoor活动联系起来，该活动自2023年11月以来利用另外两个ASA和FTD零日漏洞（CVE-2024-20353和CVE-2024-20359）入侵全球政府网络。

思科在2024年1月初意识到ArcaneDoor攻击，并发现证据表明幕后威胁组织UAT4356（微软追踪为STORM-1849）自2023年7月以来一直在测试和开发针对这两个零日漏洞的利用程序。

在攻击中，黑客部署了此前未知的Line Dancer内存shellcode加载器和Line Runner后门恶意软件，以在受感染的思科设备上保持持久性。

上周五，思科修补了其防火墙和Cisco IOS软件中的第三个严重漏洞（CVE-2025-20363），该漏洞可让未经认证的威胁参与者在未修补设备上远程执行任意代码。

然而，该公司在今日的公告中未直接将其与这些攻击联系起来，表示其产品安全事件响应团队"未意识到任何关于该漏洞的公开公告或恶意利用。”