思科昨(6)日警告,2個兩個月前已修補的防火牆漏洞再發現新一波攻擊,能關閉記錄、使裝置崩潰、並修改記憶體,影響特定款Cisco ASA 5500-X Series裝置。
思科9月發佈安全公告並修補 CVE-2025-20333 及 CVE-2025-20362,二項漏洞影響思科ASA防火牆及思科安全防火牆威脅防護(Cisco Secure Firewall Threat Defense,FTD)軟體。其中成功濫用 CVE-2025-20333 的攻擊者能在受害系統上以root權限執行任意程式碼,完全接管受害裝置。漏洞風險值高達9.9。 CVE-2025-20362則可讓攻擊者不需經過驗證,而存取受到保護的URL,風險值為6.5。
在本周更新的安全公告中,思科得知受兩項漏洞影響(即未安裝更新)的Cisco Secure ASA Software或Secure FTD Software 裝置發生「新的攻擊變種」。本波攻擊可使未修補裝置不預期重新載入,導致阻斷服務(denial of service, DoS)。思科強烈建議所有客戶安裝最新版本軟體。
思科9月首次披露時,警告二漏洞已遭濫用。上個月該公司再度公告兩項漏洞的濫用活動,駭客藉此部署惡意程式RayInitiator、Line Viper。
思科最新公告進一步說明完整細節。5月有多個提供政府組織資安回應的政府機構,向思科請求協助調查執行ASA Software with VPN web service軟體的ASA 5500-X Series攻擊事件,因為這些裝置遭到植入惡意程式並執行指令,可能從受害裝置上外洩資料。
思科當時已成立專責調查小組協助特定受影響的客戶,並從受害裝置分析封包樣本。團隊最後發現軟體底層記憶體毁損漏洞。
他們相信,最近的攻擊和思科2024年初發現的ArcaneDoor攻擊背後是同一批人。
在攻擊手法上,研究人員發現攻擊者濫用了多個零時差漏洞,並使用進階迴避偵查技倆,像是關閉記錄、攔截CLI指令,並且刻意讓裝置崩潰以阻撓診斷分析。鑑識分析發現,攻擊者修改了ROMMON(ROM Monitor)以便不受軟體更新和系統重開機影響而能長久留存。
發現修改活動的只有Secure Boot 和 Trust Anchor技術開發之前推出的早期Cisco ASA 5500-X系列。但思科在具備Secure Boot 和 Trust Anchor技術的裝置上,沒有發現成功破壞、植入惡意程式,或是任何持久性(如後門)機制。該公司也未對此派發漏洞編號。
已觀察到在這波攻擊者被破壞的ASA 5500-X 系列包括:
5512-X/5515-X (最後支援日: 2022/08/31)、5525-X/5545-X/5555-X (最後支援日: 2025/09/30),及5585-X(最後支援日: 2023/05/31)。5506-X/5506H-X/5506W-X/5508-X/5516-X則是安全的(最後支援日: 2026/08/31)。
雖然ASA也可執行在其他底層架構不同的硬體平臺上,但思科說目前沒有證據這些平臺受影響,包括執行FTD軟體的裝置。
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
