Chińscy hakerzy skanują i eksploatują firewalle Cisco ASA w sieciach rządowych na całym świecie

Wprowadzenie do problemu / definicja luki

Badacze z Unit 42 (Palo Alto Networks) oraz amerykańskie media branżowe informują o trwającej fali skanowania i włamań do zapór Cisco Adaptive Security Appliance (ASA) – popularnych urządzeń brzegowych używanych w urzędach i instytucjach publicznych w USA, Europie i Azji (w tym m.in. w Polsce). Atak przypisywany jest grupie Storm-1849 / UAT4356, którą łączy się z wcześniejszą kampanią ArcaneDoor wymierzoną w urządzenia perymetryczne. Wykorzystywany jest łańcuch błędów w ASA, w tym CVE-2025-20333 oraz CVE-2025-20362.

W skrócie

• Co się dzieje? Odnotowano wzmożone skanowanie i eksploatację firewalli Cisco ASA należących do instytucji rządowych i podmiotów z sektorów obronnego i finansowego.
• Kto stoi za atakami? Storm-1849 / UAT4356 – aktor powiązany z kampanią ArcaneDoor; analizy infrastruktur wskazują na związki z podmiotami z Chin.
• Jakie luki? Co najmniej CVE-2025-20333 (RCE, CVSS 9.9) i CVE-2025-20362 (eskalacja uprawnień), często łączone w łańcuch.
• Skutki? Utrzymanie trwałej obecności na urządzeniu choćby po restarcie i aktualizacji, dostęp do ruchu i segmentów sieciowych za firewall’em.
• Co robić? Natychmiastowe łatanie, inwentaryzacja ASA/FTD, triage pod kątem kompromitacji, rozważenie wymiany EoS/EoL, pełny “re-keying” po incydencie.

Kontekst / historia / powiązania

W kwietniu 2024 r. Cisco Talos opisało kampanię ArcaneDoor, w której szpiegowskie implanty na urządzeniach perymetrycznych (m.in. ASA/FTD) służyły do przechwytywania ruchu i pivotowania w głąb sieci. W wrześniu 2025 r. CISA wydała dyrektywę awaryjną nakazującą agencjom federalnym w 1 dzień załatać ASA i przeprowadzić forensykę, wskazując na aktywną eksploatację nowo ujawnionych luk. Wskazywano również na nakładanie się aktywności z kampaniami przypisywanymi państwu chińskiemu.

Analiza techniczna / szczegóły luki

Wektory i łańcuch ataku

• CVE-2025-20333: zdalne wykonanie kodu (RCE) w ASA (wysoka krytyczność).
• CVE-2025-20362: obejście/eskalacja uprawnień.
  Aktórzy łączą oba błędy, aby uzyskać uprzywilejowany dostęp i wdrożyć mechanizmy trwałości.

TTPs obserwowane przez Cisco i Unit 42

• Utrwalanie dostępu: manipulacja pamięcią/konfiguracją i techniki pozwalające przetrwać restarty i upgrade’y; zalecany factory reset oraz pełna wymiana haseł/kluczy po podniesieniu wersji.
• Ukrywanie śladów: wyłączanie logowania i celowe crashowanie urządzenia, aby utrudnić analizę.
• Celowanie globalne: IP instytucji rządowych w USA, Europie (m.in. PL, FR, NO, NL, ES, UK), Azji i innych regionach.

Atrybucja
Unit 42 obserwowało ciągłość działań Storm-1849/UAT4356 w październiku 2025 r. (z przerwą w Golden Week), a wcześniejsze analizy Censys łączyły infrastrukturę ArcaneDoor z podmiotami w Chinach.

Praktyczne konsekwencje / ryzyko

• Ryzyko strategiczne: uzyskanie pozycji na urządzeniach brzegowych rządu/krytycznej infrastruktury otwiera drogę do długotrwałej inwigilacji ruchu, pozyskiwania poświadczeń, modyfikacji polityk oraz lateral movement.
• Trwałość i odporność na remediację: techniki utrzymania po aktualizacjach sprawiają, iż samo patchowanie nie wystarcza — potrzebny jest pełny proces odtworzenia zaufania.
• Zasięg geograficzny i sektorowy: poza USA celem są administracje w Europie i Azji, a także sektor finansowy i obronny.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowe łatanie ASA/FTD do wersji usuwających CVE-2025-20333 i CVE-2025-20362. Zastosuj zalecenia Cisco „Continued Attacks Against Cisco Firewalls”.
2. Inwentaryzacja i triage: policz wszystkie ASA/FTD (także ukryte/niezarządzane), sprawdź wskaźniki włamania (IOCs), porównaj z artefaktami ArcaneDoor/Storm-1849.
3. Re-keying po incydencie: factory reset urządzeń, następnie pełna wymiana haseł, certyfikatów, kluczy i konfiguracji z zaufanych źródeł.
4. Wycofanie EoS/EoL: urządzenia 5500-X bez wsparcia lub z kończącym się wsparciem odłączyć/wymienić; brak patchy = stałe ryzyko.
5. Twarde segmentowanie i monitoring: UBA/NDR na ruchu z/do strefy „edge”, reguły detekcyjne dla anomalii VPN/SSL i zmian konfiguracji.
6. Zgodność z zaleceniami rządowymi: śledź komunikaty CISA/NSA/NCSC i stosuj ich checklisty reagowania na działania aktorów państwowych.

Różnice / porównania z innymi przypadkami

• ArcaneDoor (2024) vs. kampania 2025: Ta pierwsza wykorzystywała dwie 0-day (m.in. „Line Dancer/Line Runner”); tegoroczna fala obejmuje nowe CVE-2025-20333/20362 i wykazuje większą dojrzałość w utrzymaniu dostępu po aktualizacjach.
• Aktor: w 2024 r. atrybucja była ostrożna; dziś istnieje spójniejsza układanka łącząca infrastrukturę i TTPs z ekosystemem państwowych aktorów z Chin.

Podsumowanie / najważniejsze wnioski

• Urządzenia brzegowe ASA pozostają głównym celem operacji szpiegowskich.
• Samo „załatanie” nie przywraca zaufania — konieczny jest reset, re-keying i forensyka.
• Organizacje rządowe i krytyczna infrastruktura powinny traktować te zdarzenia jako kompromitację perymetru i wprowadzić twardsze kontrole dostępu oraz ciągłe monitorowanie.

Źródła / bibliografia

1. The Record: Chinese hackers scanning, exploiting Cisco ASA firewalls used by governments worldwide (31 października 2025). (The Record from Recorded Future)
2. Unit 42 (Palo Alto Networks): September 2025 Zero-Day Vulnerabilities Affecting Cisco Software (26 września 2025). (Unit 42)
3. Cisco: Continued Attacks Against Cisco Firewalls (materiały techniczne i zalecenia). (sec.cloudapps.cisco.com)
4. NSA: Guidance to counter China state-sponsored actors targeting global critical infrastructure (27 sierpnia 2025). (nsa.gov)
5. Censys: Analysis of ArcaneDoor Threat Infrastructure Suggests Potential Ties to Chinese-Based Actor. (censys.com)