思科ASA防火牆傳高風險零時差漏洞攻擊

思科本周發布二起安全公告，警告ASA（Adaptive Security Appliance）防火牆二項之前未知的重大漏洞已被駭客濫用發動攻擊，包括一個風險值9.9的重大漏洞。

這二項漏洞分別是CVE-2025-20333和CVE-2025-20362，都是影響思科ASA防火牆及思科安全防火牆威脅防護（Cisco Secure Firewall Threat Defense，FTD）軟體的安全問題。

其中CVE-2025-20333存在VPN Web Server軟體。它出於使用者HTTP請求輸入驗證不足，使具有有效VPN憑證的攻擊者可傳送改造的HTTP請求來濫用漏洞。成功濫用的攻擊者能在受害系統上以root權限執行任意程式碼，導致完全接管受害裝置。漏洞風險值高達9.9。

CVE-2025-20362也影響ASA和FTD的VPN Web Server軟體。本漏洞也是出於對HTTP呼叫的使用者輸入驗證不當，使遠端攻擊者能傳送改造的HTTP請求濫用漏洞。成功濫用可讓攻擊者不需經過驗證，而存取受到保護的URL。CVE-2025-20362風險值為6.5。

思科產品安全事件回應小組（PSIRT）表示，已獲報有人或惡意程式企圖濫用漏洞。思科已發布更新軟體解決漏洞，並呼籲用戶升級到最新版軟體。

思科同時發布CVE-2025-20363的安全公告。該公告位於Web服務。本漏洞也是出於對HTTP呼叫的使用者輸入驗證不當，使遠端攻擊者能傳送改造的HTTP請求，取得系統額外資訊或繞過安全防護，而在受害裝置以Root身份執行任意程式碼。

除了ASA和FTD軟體外，CVE-2025-20363也影響IOS、IOS XE及IOS XR軟體。CVE-2025-20363在不同產品上的危害略有不同。在ASA和FTD上，攻擊者不需經過驗證，風險值為9，而在IOS、IOS XE及IOS XR軟體上，經驗證但權限不高的攻擊者也可能執行任意程式碼，風險值為8.5。本漏洞尚未被濫用。

三項漏洞都是由思科內部研究人員發現，但獲得美國、英國、加拿大及澳洲的安全主管單位協助調查，思科也予以致謝。

思科網路設備近日頻傳攻擊。本周思科才警告IOS/ IOS XE軟體發生零時差漏洞攻擊。