Federalne agencje nie dospatchowały wszystkich podatnych urządzeń Cisco – CISA ostrzega przed „aktywną eksploatacją”

Wprowadzenie do problemu / definicja luki

CISA ostrzegła, iż cywilne agencje federalne USA nadal nie mają w pełni załatanych firewalli Cisco ASA/Firepower, mimo iż od września trwa kampania z realnymi włamaniami. Agencja opublikowała zaktualizowane wytyczne do Emergency Directive 25-03, bo część instytucji raportowała „patchowanie”, ale w praktyce wgrała wersje wciąż podatne na znane techniki ataku.

Sprawa dotyczy co najmniej dwóch luk w WebVPN ASA/FTD:

• CVE-2025-20333 – zdalne wykonanie kodu (RCE) po uwierzytelnieniu (CVSS 9.9).
• CVE-2025-20362 – obejście autoryzacji (auth bypass), umożliwiające dostęp do chronionych endpointów bez logowania (CVSS 6.5).
  Cisco i CISA potwierdzają aktywną eksploatację oraz nowy wariant ataku obserwowany od 5 listopada 2025 r. prowadzący m.in. do restartów niezałatanych urządzeń (DoS).

W skrócie

• Federalne instytucje w części zastosowały niepełne aktualizacje, zostawiając ASA/FTD w wersjach przez cały czas podatnych. CISA wydała uściślone progi wersji „minimum required”.
• Ataki przypisywane są tej samej rodzinie „nation-state” co kampania ArcaneDoor / Storm-1849 (UAT4356) i mają globalny zasięg skanowania.
• Dwie luki w WebVPN mogą być łańczone: auth bypass (20362) → RCE (20333) = pełne przejęcie urządzenia. Najnowszy wariant powoduje również nieoczekiwane restarty niezaktualizowanych modeli.
• Cisco i CISA publikują konkretne listy podatnych modeli i wersji oraz sekcję „Fixed Software” – trzeba podnieść do wersji co najmniej wymaganych przez CISA, nie „najbliższych”.

Kontekst / historia / powiązania

We wrześniu 2025 r. Cisco ujawniło łańcuch luk w ASA/FTD, a CISA wydała ED 25-03 nakazując inwentaryzację, analizę śladów kompromitacji i natychmiastowe aktualizacje. W listopadzie 2025 r. pojawiły się nowe techniki wykorzystujące te same wektory WebVPN i skutkujące m.in. DoS przez rebooty, co wymusiło doprecyzowanie minimalnych wersji do zgodności. The Record informuje, iż eksploatacja dotyczyła także adresów IP podmiotów federalnych i stanowionych przez kontrahentów oraz celów w wielu krajach.

Analiza techniczna / szczegóły luki

CVE-2025-20333 (RCE po uwierzytelnieniu)

• Komponent: WebVPN w ASA/FTD.
• Błąd: niewłaściwa walidacja danych wejściowych w żądaniach HTTP(S) → przepełnienie bufora / manipulacja pamięcią.
• Skutek: zdalne wykonanie kodu jako root, pełne przejęcie urządzenia.
• Wymogi: atakujący posiada prawidłowe poświadczenia VPN (np. wyłudzone/phish, zreuse’owane lub zdobyte przez 20362).

CVE-2025-20362 (auth bypass)

• Komponent: WebVPN (URL-based).
• Błąd: „missing authorization” – możliwość wywołania zwykle chronionych endpointów bez sesji.
• Skutek: dostęp do ograniczonych zasobów i „skrótów” prowadzących do dalszej eskalacji (np. przygotowanie do RCE lub ujawnienie informacji).

Łańcuchowanie

W praktyce obserwowano najpierw dostęp do wybranych endpointów (20362), a następnie RCE (20333). Nowy wariant z 5 listopada 2025 r. potrafi wymuszać restarty niezabezpieczonych wersji (utrudnianie IR, DoS).

Atrybucja i TTP

Aktywność łączona jest z Storm-1849 / UAT4356 – tą samą grupą, która stała za ArcaneDoor (2024). Wzorce obejmują m.in. ukrywanie śladów na ASA, manipulację konfiguracją i logami oraz dążenie do trwałej obecności.

Praktyczne konsekwencje / ryzyko

• Pełne przejęcie brzegu sieci: kontrola reguł, tuneli VPN, inspekcji, możliwości pivotu do sieci wewnętrznej.
• Utrata widoczności: wyłączenie/ograniczenie logowania, fałszowanie telemetrii przez napastnika.
• DoS/niestabilność: niespodziewane restarty na podatnych wersjach (nowy wariant).
• Trwałość zagrożenia: na starszych ASA (bez Secure Boot/Trust Anchor) możliwe trudniejsze wykrywanie i usuwanie „implantu”.

Rekomendacje operacyjne / co zrobić teraz

Poniższe kroki są przygotowane pod kątem szybkiej egzekucji w SOC/NOC oraz na potrzeby studenta/analizującego IR.

1) Zweryfikuj sprzęt i wersje – zgodność z ED 25-03 (minimum required)

• Przejrzyj listy urządzeń i wersji oraz Fixed Software w advisoriach Cisco i uaktualnionej publikacji CISA (12 listopada 2025). Nie zatrzymuj się na „najnowszej dostępnej”, tylko na wersji co najmniej wymaganej przez CISA.
• Na ASA/FTD (CLI): show version show inventory show running-config webvpn show vpn-sessiondb anyconnect Porównaj „Software version” z tabelą „Fixed Software” Cisco.

2) jeżeli nie możesz od razu zaktualizować – tymczasowo ogranicz powierzchnię ataku

• Wyłącz WebVPN/portal SSL na interfejsie zewnętrznym (do czasu patcha): conf t webvpn disable no webvpn end write memory albo zdejmij ssl trust-point i ogranicz ACL/management z Internetu na czas okna serwisowego. (Uwaga: wpływ na użytkowników AnyConnect/portal).

3) Aktualizacja i sanity-check po aktualizacji

• Zaktualizuj do wersji wskazanych przez Cisco PSIRT dla Twojego modelu/gałęzi. Po restarcie sprawdź: show version | inc Version show webvpn show asp table socket Dodatkowo potwierdź zgodność względem guidance CISA (ED 25-03).

4) Szukaj śladów kompromitacji (IoC/TTP)

• Nietypowe restarty / crash-info po 5.11.2025.
• Zmiany w running-config dot. WebVPN/AAA bez ticketu.
• Logi AnyConnect/portal z nietypowych ASN, wzmożone 401/403/404 do specyficznych ścieżek WebVPN.
• Utrata logów/syslog na ASA – potencjalna manipulacja. (TTP znane z ArcaneDoor/Storm-1849).

IR – szybkie komendy (ASA):

show crashinfo show logging show tech-support dir disk0:/ # nietypowe pliki/skrypty show users show aaa-server

5) Twarde odseparowanie i odtworzenie, o ile są wskaźniki kompromitacji

• Odłącz urządzenie od Internetu/segmentu WAN, przeprowadź factory reset, wgraj obraz zaufany i przeprowizjonuj (zmień wszystkie hasła/tajniki, klucze, certyfikaty). W środowiskach krytycznych rozważ wymianę na modele z Secure Boot/Trust Anchor.

6) Kontrola SES/EDR/SIEM

• Korelacje zdarzeń VPN/AAA z logami systemów końcowych (wykrycie nadużyć poświadczeń).
• Reguły treathunting na nietypowe URI WebVPN i sekwencje sondowania.
• Alarmy na „nagłe” restarty ASA/FTD (okresowość, korelacja z ruchem do portali WebVPN).

Różnice / porównania z innymi przypadkami

• ArcaneDoor (2024) vs. obecna fala (2025): podobne cele (infrastruktura perymetryczna), ale obecny łańcuch WebVPN auth-bypass → RCE jest lepiej udokumentowany i aktywnie dozbrajany (listopadowy wariant DoS).
• Starsze ASA 5500-X bez mechanizmów Secure Boot są bardziej narażone na trudną do usunięcia persystencję; nowsze platformy z Trust Anchor utrudniają modyfikacje obrazu przez napastnika.

Podsumowanie / najważniejsze wnioski

• „Załatane” ≠ „bezpieczne”, o ile wersja nie spełnia minimów CISA; część organizacji wgrała przez cały czas podatne buildy.
• WebVPN to główny wektor – jeżeli nie jest krytyczny biznesowo, wyłącz do czasu aktualizacji.
• Po patchu wykonaj sanity-check wersji i hunting IoC (szczególnie po 5.11).
• Rozważ przesiadkę sprzętową na modele z Secure Boot/Trust Anchor.
• Dokumentuj zgodność z ED 25-03 i utrzymuj łączność operacyjną SOCNOC na czas okna.

Źródła / bibliografia

1. The Record: Federal agencies not fully patching vulnerable Cisco devices amid ‘active exploitation’ (12 listopada 2025). (The Record from Recorded Future)
2. CISA – Update: Implementation Guidance for ED 25-03 (12 listopada 2025). (CISA)
3. Cisco PSIRT – ASA/FTD WebVPN advisory (aktualizacje, Fixed Software; update 5 listopada 2025). (sec.cloudapps.cisco.com)
4. NVD – CVE-2025-20333 (opis techniczny, CVSS). (NVD)
5. Unit 42 – Threat insights dot. łańcucha i TTP. (Unit 42)