Cisco dringt er bij klanten op aan om twee beveiligingsfouten te patchen die van invloed zijn op de VPN -webserver van Cisco Secure Firewall Adaptive Security Appliance (ASA) Software en Cisco Secure Firewall Threat Defense (FTD) -software, waarvan het zei dat het in het wild is geëxploiteerd.
De nul -day kwetsbaarheden in kwestie worden hieronder vermeld –
- CVE-2025-20333 (CVSS score: 9.9) – An improper validation of user-supplied input in HTTP(S) requests vulnerability that could allow an authenticated, remote attacker with valid VPN user credentials to execute arbitrary code as root on an affected device by sending crafted HTTP requests
- CVE-2025-20362 (CVSS -score: 6.5) – Een onjuiste validatie van door de gebruiker geleverde invoer in HTTP (s) vraagt om kwetsbaarheid waarmee een niet -geauthenticeerde, externe aanvaller toegang zou krijgen tot beperkte URL -eindpunten zonder authenticatie door te verzenden door bewerkte HTTP -aanvragen te verzenden
Cisco zei dat het zich bewust is van “poging tot uitbuiting” van beide kwetsbaarheden, maar heeft niet onthuld wie er achter zit, of hoe wijdverbreid de aanvallen zijn. Er wordt vermoed dat de twee kwetsbaarheden worden geketend om authenticatie te omzeilen en kwaadaardige code uit te voeren op gevoelige apparaten.
Het heeft ook het Australian Signals Directorate, Australian Cyber Security Center (ACSC), Canadian Center for Cyber Security, UK National Cyber Security Center (NCSC) en US Cybersecurity and Infrastructure Security Agency (CISA) gecrediteerd voor het ondersteunen van het onderzoek.
CISA geeft noodrichtlijn ED 25-03
In een afzonderlijke waarschuwing zei CISA dat het een noodrichtlijn uitgeeft waarin federale agentschappen aansporen om potentiële compromissen met onmiddellijke ingang te identificeren, te analyseren en te beperken. Bovendien zijn beide kwetsbaarheden toegevoegd aan de bekende Catalogus voor uitgebuite Vulnerabilities (KEV), waardoor de agentschappen 24 uur de nodige mitigaties hebben toegepast.
“CISA is op de hoogte van een voortdurende uitbuitingscampagne door een geavanceerde dreigingsacteur gericht op Cisco Adaptive Security Appliances (ASA),” merkte het agentschap op.
“De campagne is wijdverbreid en omvat het exploiteren van nul-daagse kwetsbaarheden om niet-geauthenticeerde externe code-uitvoering op ASA’s te verkrijgen, evenals het manipuleren van alleen-lezen geheugen (ROM) om door te gaan door reboot en systeemupgrade. Deze activiteit vormt een aanzienlijk risico voor slachtoffers.”
Het bureau merkte ook op dat de activiteit is gekoppeld aan een bedreigingscluster genaamd Arcanedoor, dat eerder werd geïdentificeerd als richt op perimeternetwerkapparaten van verschillende leveranciers, waaronder Cisco, om malwarefamilies zoals Line Runner en Line Dancer te leveren. De activiteit werd toegeschreven aan een dreigingsacteur genaamd UAT4356 (aka Storm-1849).
“Deze dreigingsacteur heeft een vermogen aangetoond om ASA ROM ten minste al in 2024 met succes te wijzigen,” voegde CISA eraan toe. “Deze nul-daagse kwetsbaarheden in het Cisco ASA-platform zijn ook aanwezig in specifieke versies van Cisco Firepower. De veilige laars van Firepower Appliances zou de geïdentificeerde manipulatie van de ROM detecteren.”
