摘要:思科公司近日发布两则公告及对应补丁,其Secure Firewall Adaptive Security Appliance(ASA)软件和Secure Firewall Threat Defense(FTD)软件VPN网络服务器中存在的两个0day漏洞。漏洞
思科对CVE-2025-20362的描述如下:"思科Secure Firewall Adaptive Security Appliance(ASA)软件和Secure Firewall Threat Defense(FTD)软件的VPN网络服务器中存在漏洞,可能允许未经认证的远程攻击者在无需认证的情况下访问本应受限的URL端点。"
漏洞根源在于对HTTP(S)请求中用户输入数据的验证不当。攻击者可通过向目标设备发送特制HTTP请求来利用此弱点。"成功利用该漏洞可使攻击者在无需认证的情况下访问受限URL。"
思科对CVE-2025-20333的描述如下:"思科Secure Firewall ASA软件和FTD软件的VPN网络服务器中存在漏洞,经过身份验证的远程攻击者可利用该漏洞在受影响设备上执行任意代码。"
漏洞成因在于对HTTP(S)请求中用户输入数据的验证不当。思科警告称:"成功利用该漏洞的攻击者能够以root权限执行任意代码,可能导致设备被完全控制。"
Part02受影响设备范围CVE-2025-20362漏洞影响运行特定配置下易受攻击版本ASA或FTD软件的设备:ASA软件在配置AnyConnect IKEv2远程访问、移动用户安全(MUS)或SSL VPN时可能受影响FTD软件在配置AnyConnect IKEv2远程访问或AnyConnect SSL VPN时可能受影响思科特别指出,远程访问VPN功能可能启用SSL监听套接字,从而创造漏洞利用条件。
CVE-2025-20333则影响启用了AnyConnect IKEv2远程访问(含客户端服务)、配置了移动用户安全(MUS)功能、启用了SSL VPN服务的ASA或FTD软件的设备。Part03漏洞利用现状与修复建议思科产品安全事件响应团队(PSIRT)确认该漏洞已遭到攻击尝试:"思科PSIRT已发现针对此漏洞的攻击尝试。"
思科强烈建议客户升级:"思科已发布修复该漏洞的软件更新。我们持续强烈建议客户升级至已修复的软件版本。"此外,公司还建议启用增强防护措施:"安装修复版本后,建议客户查阅《思科Secure Firewall ASA防火墙CLI配置指南》中的'为VPN服务配置威胁检测'章节,缓解登录认证攻击和客户端初始化滥用风险"。
参考来源:
Cisco Zero-Day CVE-2025-20362 Under Attack: VPN Flaw in ASA/FTD Exposes Restricted Resources
https://securityonline.info/cisco-zero-day-cve-2025-20362-under-attack-vpn-flaw-in-asa-ftd-exposes-restricted-resources/CRITICAL Cisco Zero-Day (CVE-2025-20333, CVSS 9.9) Under Active Attack: VPN Flaw Allows Root RCE
来源:阿尔科技Daily