Компания Cisco обнаружила две критические уязвимости нулевого дня в программном обеспечении своих межсетевых экранов. Эти уязвимости активно используются в ходе широкомасштабной кампании, проводимой высокопрофессиональной хакерской группой. Угроза была признана настолько серьезной, что Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренную директиву, требующую от федеральных ведомств принять меры по устранению рисков в течение 24 часов.
Первая уязвимость, идентифицированная как CVE-2025-20333, получила оценку 9.9 из 10 по шкале CVSS, что соответствует критическому уровню опасности. Она вызвана некорректной проверкой вводимых пользователем данных в HTTP(S)-запросах. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику, обладающему действительными учетными данными VPN, выполнить произвольный код с правами суперпользователя (root) на целевом устройстве.
Вторая уязвимость, CVE-2025-20362, имеет средний уровень опасности с оценкой 6.5 по шкале CVSS. Она также связана с неправильной проверкой пользовательского ввода и позволяет неаутентифицированному удаленному атакующему получить доступ к закрытым URL-адресам без необходимости проходить проверку подлинности. Предполагается, что злоумышленники используют эти уязвимости в связке.
Атака, скорее всего, происходит в два этапа. Сначала злоумышленники используют CVE-2025-20362 для обхода аутентификации и получения первоначального доступа к системе. Сразу после этого они эксплуатируют критическую уязвимость CVE-2025-20333, чтобы выполнить вредоносный код и получить полный контроль над устройством.
Уязвимости затрагивают программное обеспечение Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD). Определенные версии Cisco Firepower также находятся в зоне риска, однако отмечается, что встроенная функция безопасности "Secure Boot" в этих устройствах способна обнаружить манипуляции с памятью, используемые в данной кампании.
Аналитики по кибербезопасности связывают атаки с группировкой, известной под названиями ArcaneDoor, UAT4356 и Storm-1849. Эта группа классифицируется как «продвинутый участник угроз» (advanced threat actor), специализирующийся на атаках на периметральные сетевые устройства различных производителей, включая Cisco.
В ходе атак группировка ArcaneDoor использует вредоносное ПО семейств Line Runner и Line Dancer. Одной из наиболее опасных техник, применяемых злоумышленниками, является манипуляция с постоянным запоминающим устройством (ROM) скомпрометированных устройств. Эта тактика позволяет вредоносному коду сохраняться в системе даже после перезагрузки или обновления прошивки, обеспечивая тем самым долгосрочное присутствие в инфраструктуре жертвы. Эта возможность была продемонстрирована группой как минимум в 2024 году.
В ответ на широкомасштабную эксплуатацию уязвимостей Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренную директиву ED 25-03. Документ предписывает всем федеральным агентствам США немедленно выявить, проанализировать и устранить потенциальные компрометации, связанные с данными уязвимостями.
Дополнительно CISA внесло обе уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV). Этот шаг обязывает федеральные ведомства применить необходимые исправления и меры по смягчению последствий в течение 24 часов с момента публикации, что подчеркивает крайнюю срочность ситуации.
Расследование и координация ответных мер проводятся при участии международных партнеров. В их число входят Австралийский центр кибербезопасности (ACSC) при Управлении радиоэлектронной разведки Австралии, Канадский центр кибербезопасности и Национальный центр кибербезопасности Великобритании (NCSC).
Изображение носит иллюстративный характер
Первая уязвимость, идентифицированная как CVE-2025-20333, получила оценку 9.9 из 10 по шкале CVSS, что соответствует критическому уровню опасности. Она вызвана некорректной проверкой вводимых пользователем данных в HTTP(S)-запросах. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику, обладающему действительными учетными данными VPN, выполнить произвольный код с правами суперпользователя (root) на целевом устройстве.
Вторая уязвимость, CVE-2025-20362, имеет средний уровень опасности с оценкой 6.5 по шкале CVSS. Она также связана с неправильной проверкой пользовательского ввода и позволяет неаутентифицированному удаленному атакующему получить доступ к закрытым URL-адресам без необходимости проходить проверку подлинности. Предполагается, что злоумышленники используют эти уязвимости в связке.
Атака, скорее всего, происходит в два этапа. Сначала злоумышленники используют CVE-2025-20362 для обхода аутентификации и получения первоначального доступа к системе. Сразу после этого они эксплуатируют критическую уязвимость CVE-2025-20333, чтобы выполнить вредоносный код и получить полный контроль над устройством.
Уязвимости затрагивают программное обеспечение Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD). Определенные версии Cisco Firepower также находятся в зоне риска, однако отмечается, что встроенная функция безопасности "Secure Boot" в этих устройствах способна обнаружить манипуляции с памятью, используемые в данной кампании.
Аналитики по кибербезопасности связывают атаки с группировкой, известной под названиями ArcaneDoor, UAT4356 и Storm-1849. Эта группа классифицируется как «продвинутый участник угроз» (advanced threat actor), специализирующийся на атаках на периметральные сетевые устройства различных производителей, включая Cisco.
В ходе атак группировка ArcaneDoor использует вредоносное ПО семейств Line Runner и Line Dancer. Одной из наиболее опасных техник, применяемых злоумышленниками, является манипуляция с постоянным запоминающим устройством (ROM) скомпрометированных устройств. Эта тактика позволяет вредоносному коду сохраняться в системе даже после перезагрузки или обновления прошивки, обеспечивая тем самым долгосрочное присутствие в инфраструктуре жертвы. Эта возможность была продемонстрирована группой как минимум в 2024 году.
В ответ на широкомасштабную эксплуатацию уязвимостей Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренную директиву ED 25-03. Документ предписывает всем федеральным агентствам США немедленно выявить, проанализировать и устранить потенциальные компрометации, связанные с данными уязвимостями.
Дополнительно CISA внесло обе уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV). Этот шаг обязывает федеральные ведомства применить необходимые исправления и меры по смягчению последствий в течение 24 часов с момента публикации, что подчеркивает крайнюю срочность ситуации.
Расследование и координация ответных мер проводятся при участии международных партнеров. В их число входят Австралийский центр кибербезопасности (ACSC) при Управлении радиоэлектронной разведки Австралии, Канадский центр кибербезопасности и Национальный центр кибербезопасности Великобритании (NCSC).
