Cisco firewall ranjivosti iskorištene u napadima

‍Sadržaj
‍
Cisco je izdao hitno sigurnosno upozorenje nakon što su uočeni aktivni napadi na njegove ASA (Adaptive Security Appliance) i FTD (Firepower Threat Defense) firewall uređaje. Istražitelji su potvrdili da se napadi temelje na dvije ranjivosti označene kao CVE-2025-20333 i CVE-2025-20362, koje zajedno omogućuju udaljeno izvršavanje koda i zaobilaženje autentikacije.
‍
Prvi propust iskorištava web-VPN komponentu, dok drugi otvara pristup određenim internim URL-ovima bez provjere korisnika. Cisco je objavio sigurnosne zakrpe i savjete, a CISA je uključila oba propusta u svoj katalog aktivno iskorištenih ranjivosti te naložila organizacijama pod saveznim nadzorom da odmah ažuriraju sustave.

Detalji
‍
Prema objavljenim tehničkim analizama, CVE-2025-20333 predstavlja kritičnu ranjivost u SSL VPN modulu Cisco ASA i FTD uređaja. Problem proizlazi iz nepravilnog rukovanja korisničkim unosima prilikom autentikacije putem web-portala, što omogućuje udaljenom napadaču da pošalje posebno oblikovan zahtjev i izvrši proizvoljan kod s administratorskim privilegijama. Cisco je ranjivost ocijenio CVSS v4.0 ocjenom 9.9 i potvrdio da se aktivno eksploatira u divljini, uglavnom kroz botnet infrastrukture koje ciljaju javno izložene VPN-sučelja.

Drugi propust, CVE-2025-20362 (CVSS 6.5), odnosi se na neispravnu implementaciju provjere pristupa unutar administrativnog web-sloja. Napadač bez autentikacije može dohvatiti određene resurse, što omogućava prikupljanje sistemskih informacija ili iskorištavanje drugih povezanih ranjivosti. Istraživanja pokazuju da je više od 50 000 Cisco firewall uređaja trenutačno javno izloženo internetu i ranjivo, uključujući mnoge instance u poslovnim i vladinim mrežama.

Napadi su navodno uključivali i isporuku zlonamjernog alata „RayInitiator”, koji se koristi za daljinsku komunikaciju s C2 serverima i omogućuje daljnje post-exploitation faze, poput instalacije malvera LINE VIPER. Cisco surađuje s partnerima i sigurnosnim zajednicama kako bi identificirao zahvaćene sustave i ograničio širenje prijetnje.

Preporuke
‍
• Ažurirati ASA i FTD softver na najnovije verzije koje uključuju zakrpe za CVE-2025-20333 i CVE-2025-20362.
• Privremeno onemogućiti SSL VPN portal ako nije nužan, ili ograničiti pristup samo na interne mreže.
• Provesti mrežnu segmentaciju i blokirati dolazne HTTP/HTTPS zahtjeve prema administrativnim sučeljima s interneta.
• Pregledati logove za znakove kompromitacije, posebno nepoznate VPN konekcije, abnormalne HTTP POST zahtjeve i aktivnost iz neuobičajenih IP adresa.
• Primijeniti EDR/SIEM pravila za detekciju poznatih IOC-ova povezanih s RayInitiator i LINE VIPER kampanjom.
• Redovito provoditi penetracijska testiranja i reviziju izloženih servisa.

4. Reference
‍
• https://www.bleepingcomputer.com/news/security/cisco-warns-of-asa-firewall-zero-days-exploited-in-attacks
• https://www.techradar.com/pro/security/around-50-000-cisco-firewalls-are-vulnerable-to-attack-so-patch-now
• https://nvd.nist.gov/vuln/detail/CVE-2025-20333
• https://nvd.nist.gov/vuln/detail/CVE-2025-20362

‍