O Cisco piszemy dosyć często, dzisiaj jednak w tonie wyjątkowo alarmującym. W czwartek (25 września) Cisco opublikowało ratunkowe poprawki dla dwóch luk w zaporze sieciowej, wykorzystywanych jako zero-daye w atakach powiązanych z kampanią szpiegowską ArcaneDoor.
Błędy zostały oznaczone jako CVE-2025-20333 (wynik CVSS 9,9) i CVE-2025-20362 (wynik CVSS 6,5). Wpływają na serwer VPN systemu Cisco Secure Firewall Adaptive Security Appliance (ASA) i Secure Firewall Threat Defense (FTD).
Jak wyjaśnia Cisco, problemy wynikają z nieprawidłowej weryfikacji danych wprowadzanych przez użytkownika w żądaniach HTTP(S), co pozwala zdalnemu atakującemu na wysyłanie zmodyfikowanych żądań i wykonywanie dowolnego kodu z uprawnieniami roota lub uzyskanie dostępu do zastrzeżonego adresu URL bez uwierzytelnienia.
Atakujący potrzebuje prawidłowych danych uwierzytelniających użytkownika VPN, aby wykorzystać lukę o znaczeniu krytycznym, ale może wykorzystać lukę o znaczeniu średnim bez uwierzytelnienia.
Obie podatności, jak zauważa Cisco w nowym alercie, zostały odkryte po tym, jak w maju tego roku firma otrzymała wezwanie do pomocy w badaniu ataków na organizacje rządowe, w których doszło do naruszenia bezpieczeństwa urządzeń z serii ASA 5500-X z włączonymi usługami VPN.
W ramach ataków, które Cisco powiązało z kampanią szpiegowską ArcaneDoor, zgłoszoną w zeszłym roku, luki typu zero-day umożliwiły hakerom wdrażanie złośliwego oprogramowania, uruchamianie poleceń i prawdopodobnie wykradanie danych z zainfekowanych urządzeń.
„Zaobserwowano, iż atakujący wykorzystali wiele luk typu zero-day i zastosowali zaawansowane techniki kamuflażu, takie jak wyłączanie rejestrowania, przechwytywanie poleceń CLI i celowe zawieszanie urządzeń w celu uniemożliwienia analizy diagnostycznej” – wyjaśnia Cisco.
Zaobserwowano, iż atakujący manipulował pamięcią tylko do odczytu (ROM) urządzeń, aby zapewnić trwałość po ponownym uruchomieniu i aktualizacjach oprogramowania. Modyfikacje te były możliwe, ponieważ zainfekowane urządzenia nie obsługują funkcji Secure Boot i Trust Anchor.
Według Cisco hakerzy z powodzeniem zhakowali urządzenia 5512-X, 5515-X i 5585-X, które zostały wycofane z produkcji, a także modele 5525-X, 5545-X i 5555-X, które zostaną wycofane z produkcji 30 września 2025 r.
Podatne na ataki oprogramowanie ASA działa na urządzeniach ASA 5505-X, 5506H-X, 5506W-X, 5508-X i 5516-X oraz na wszystkich modelach Firepower i Secure Firewall, ale produkty te obsługują funkcje Secure Boot i Trust Anchor, a Cisco nie zaobserwowało ich skutecznego złamania.
Użytkownikom zaleca się jak najszybszą aktualizację urządzeń, ponieważ wersja poprawiona automatycznie sprawdzi pamięć ROM i usunie mechanizm utrwalania atakujących. Warto również rozważyć rotację wszystkich haseł, certyfikatów i kluczy po przeprowadzonej aktualizacji.
„W przypadku podejrzenia lub potwierdzenia naruszenia bezpieczeństwa dowolnego urządzenia zapory sieciowej Cisco, wszystkie elementy konfiguracji urządzenia należy uznać za niezaufane” – ostrzegło Cisco. Firma opublikowała również przewodnik ułatwiający wykrywanie, aby pomóc organizacjom w poszukiwaniu potencjalnych zagrożeń związanych z kampanią ArcaneDoor.
Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) opublikowało analizę techniczną złośliwego systemu zidentyfikowanego w obserwowanych atakach, zalecając jak najszybszą wymianę podatnych modeli serii ASA 5500-X, które zostały lub niedługo zostaną wycofane z produkcji.
NCSC zaapelowało do osób odpowiedzialnych za ochronę sieci korzystających z zagrożonych produktów o pilne zbadanie tej aktywności i opublikowało nową analizę komponentów złośliwego systemu – RayInitiator oraz LINE VIPER – aby pomóc w wykrywaniu i ograniczaniu zagrożeń.
W czwartek amerykańska agencja ds. cyberbezpieczeństwa CISA dodała luki CVE-2025-20333 i CVE-2025-20362 do swojego katalogu znanych luk w zabezpieczeniach (KEV), wzywając agencje federalne do zajęcia się nimi natychmiast – w ciągu jednego dnia.
CISA wydała również Dyrektywę Awaryjną ED 25-03, nakazującą agencjom federalnym zidentyfikowanie wszystkich urządzeń Cisco ASA i Firepower w swoich środowiskach, zebranie plików pamięci i przesłanie ich do CISA w celu analizy kryminalistycznej w terminie do końca 26 września.
