Zero day u Cisco ASA i FTD

Sadržaj
‍
Cisco je potvrdio dva zero-daya u ASA/FTD vatrozidima, CVE-2025-20333 (RCE uz autentikaciju) i CVE-2025-20362 (zaobilaženje autentikacije). Ranjivosti su aktivno iskorištavane u kampanjama protiv ASA 5500-X uređaja; CISA je izdala hitnu direktivu za inventuru, provjeru kompromitacije i nadogradnju. Istodobno je zakrpan i treći, kritičan propust CVE-2025-20363 (RCE u web servisima) za ASA/FTD te IOS/IOS XE/XR, za sada bez dokaza o eksploataciji.

Detalji
‍
Par napada koje Cisco opisuje oslanja se na kombinaciju dviju web-površina na ASA/FTD uređajima s uključenim HTTP(S) servisima i WebVPN-om. Prvi korak je CVE-2025-20362, zaobilaženje autentikacije koje napadaču omogućuje pristup zaštićenim URL krajnjim točkama bez valjanih vjerodajnica. Time se može zaobići AAA i dohvatiti interne resurse web-poslužitelja na ASA/FTD-u ili generirati kontekst autenticirane sesije WebVPN-a. Na to se nadovezuje CVE-2025-20333, propust post-auth koji omogućuje izvršavanje koda u procesu web-servisa; praktično, čim je napadač “unutra”, može podići ovlasti i preuzeti kontrolu nad uređajem (na FTD-u do razine OS-a, na ASA-i u kontekstu procesa lina). Ovakav lanac posebno pogađa uređaje koji imaju izložen ASA web-server / Clientless SSL VPN na internetu ili na nedovoljno segmentiranim upravljačkim sučeljima.
‍
Nakon početnog pristupa, akteri uvode dva povezana artefakta. RayInitiator djeluje kao “bootstrapper” i mehanizam za postojanost: ubrizgava se u rad web-servisa, postavlja hookove za presretanje HTTP zahtjeva i može se ponovno aktivirati nakon restarta ili nadogradnje. Na starijim ASA 5500-X (EoS) jedinkama bez Secure Boot/Trust Anchor zaštita zabilježeni su pokušaji izmjene ROMMON-a kako bi se RayInitiator automatski učitao pri svakom dizanju, što otežava čišćenje.

Drugi artefakt, LINE VIPER, korisnički je implant (user-mode) koji radi u prostoru procesa i služi za daljinsko izvršavanje naredbi, manipulaciju datotekama i mrežni nadzor. On može prigušiti logiranje (hookovi na syslog/HTTP dnevničke funkcije), presretati CLI akcije administratora, pokretati packet-capture i snimati promet prema određenim odredištima. Komunikacija s C2-om maskira se unutar naizgled legitimnih HTTPS obrazaca (npr. health-check rute), čime se smanjuje šansa detekcije na perimetru.
‍
Operativno, kampanje ciljaju prije svega ASA 5500-X platforme koje su široko zastupljene i često imaju uključene web usluge zbog AnyConnect/Clientless potreba. U klasičnom scenariju najprije slijedi skeniranje za otvoreni ASA web-poslužitelj (uglavnom TCP/443), iskorištavanje CVE-2025-20362 za prolaz bez prijave, zatim CVE-2025-20333 za RCE i postavljanje implantata. Na novijim platformama s provedbom Secure Boota napadači se češće oslanjaju na memorijsku/polutrajnu postojanost (ponovno učitavanje kroz web-servis), dok na starijim pokušavaju ROMMON modifikacije radi preživljavanja nadogradnji.

U telemetriji se to vidi kao neobjašnjivi prekidi i ponovno pokretanje procesa web-poslužitelja, promjene u ponašanju lina binarke, tiše ili srezano logiranje te periodični enkriptirani odlasci prema netipičnim vanjskim domenama iz upravljačkog konteksta uređaja.

Preporuka
‍
• Odmah ažurirati ASA/FTD na izdanja s ispravkama za CVE-2025-20333/20362; primijeniti i zakrpu za CVE-2025-20363. Provjeriti Cisco advisorye za točne „fixed” verzije po trainu.
• Ako je WebVPN / ASA web-server nepotreban - privremeno onemogućiti ili strogo ograničiti pristup (ACL/WAF/VPN jump-host).
• Provjeriti indikatore kompromitacije: tragove RayInitiator/LINE VIPER, neuobičajene izmjene lina binarke, potisnuto logiranje, nagle reload događaje; usporediti ROMMON slike s poznatim dobrima.
• Uskladiti se s CISA Emergency Directive: popisati izložene uređaje, skenirati na kompromitaciju, izolirati sumnjive instance i rotirati vjerodajnice; primijeniti KEV prioritizaciju.
• Za EoS ASA 5500-X planirati zamjenu platforme; uređaje bez Secure Boot/Trust Anchor tretirati kao visoko-rizične i držati iza segmentacije s pojačanim nadzorom.

Reference
‍
• https://thehackernews.com/2025/09/cisco-asa-firewall-zero-day-exploits.html
• https://www.bleepingcomputer.com/news/security/cisco-warns-of-asa-firewall-zero-days-exploited-in-attacks/
• https://www.reuters.com/legal/litigation/us-sounds-alarm-over-hackers-targeting-cisco-security-devices-2025-09-25/
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog

‍