SecAtor
@true_secator
Почти 50 000 устройств Cisco Adaptive Security Appliance (ASA) и Firewall Threat Defense (FTD), доступных в общедоступной сети, подвержены двум активно эксплуатируемым уязвимостям.
Упомянутые нами ранее CVE-2025-20333 и CVE-2025-20362 позволяют выполнять произвольный код и получать доступ к ограниченным URL-адресам, связанным с VPN-доступом.
Обе уязвимости безопасности могут быть эксплуатированы удалённо без аутентификации.
25 сентября Cisco предупредила, что эти уязвимости активно использовались в атаках, которые начались до того, как исправления стали доступны клиентам.
Обходных путей для обеих уязвимостей не существует, но временные меры по смягчению могут включать ограничение доступа к веб-интерфейсу VPN, а также мониторинг подозрительных входов в VPN и HTTP-запросов.
В свою очередь, The Shadowserver Foundation отметила, что в ходе сканирования было обнаружено более 48 800 экземпляров ASA и FTD, доступных через Интернет, которые по-прежнему уязвимы к CVE-2025-20333 и CVE-2025-20362.
Большинство IP-адресов расположено в США (более 19 200 конечных точек), за которыми следуют Великобритания (2 800), Япония (2 300), Германия (2 200), Россия (2 100), Канада (1 500) и Дания (1 200).
Статистка соответствует состоянию на 29 сентября и свидетельствуют об отсутствии адекватной реакции на продолжающуюся эксплуатацию и фактические указывает на начало новой масштабной атаки на цепочку мудаков.
Причем, еще 4 сентября Greynoise также предупреждала о сканированиях, начавшихся ещё в конце августа и нацеленных на устройства Cisco ASA.
В 80% случаев эти сканирования указывают на готовящиеся к обнаружению незадокументированные уязвимости в атакуемых продуктах. Так и случилось.
Британский NCSC в своем отчете отметил, что хакеры использовали вредоносную программу-загрузчик шелл-кода под названием Line Viper, а затем буткит GRUB под названием RayInitiator.
Учитывая, что активная эксплуатация уязвимости продолжается уже более недели, администраторам потенциально затронутых систем настоятельно рекомендуется как можно скорее применить рекомендации Cisco для CVE-2025-20333 и CVE-2025-20362 [1 и 2].
Упомянутые нами ранее CVE-2025-20333 и CVE-2025-20362 позволяют выполнять произвольный код и получать доступ к ограниченным URL-адресам, связанным с VPN-доступом.
Обе уязвимости безопасности могут быть эксплуатированы удалённо без аутентификации.
25 сентября Cisco предупредила, что эти уязвимости активно использовались в атаках, которые начались до того, как исправления стали доступны клиентам.
Обходных путей для обеих уязвимостей не существует, но временные меры по смягчению могут включать ограничение доступа к веб-интерфейсу VPN, а также мониторинг подозрительных входов в VPN и HTTP-запросов.
В свою очередь, The Shadowserver Foundation отметила, что в ходе сканирования было обнаружено более 48 800 экземпляров ASA и FTD, доступных через Интернет, которые по-прежнему уязвимы к CVE-2025-20333 и CVE-2025-20362.
Большинство IP-адресов расположено в США (более 19 200 конечных точек), за которыми следуют Великобритания (2 800), Япония (2 300), Германия (2 200), Россия (2 100), Канада (1 500) и Дания (1 200).
Статистка соответствует состоянию на 29 сентября и свидетельствуют об отсутствии адекватной реакции на продолжающуюся эксплуатацию и фактические указывает на начало новой масштабной атаки на цепочку мудаков.
Причем, еще 4 сентября Greynoise также предупреждала о сканированиях, начавшихся ещё в конце августа и нацеленных на устройства Cisco ASA.
В 80% случаев эти сканирования указывают на готовящиеся к обнаружению незадокументированные уязвимости в атакуемых продуктах. Так и случилось.
Британский NCSC в своем отчете отметил, что хакеры использовали вредоносную программу-загрузчик шелл-кода под названием Line Viper, а затем буткит GRUB под названием RayInitiator.
Учитывая, что активная эксплуатация уязвимости продолжается уже более недели, администраторам потенциально затронутых систем настоятельно рекомендуется как можно скорее применить рекомендации Cisco для CVE-2025-20333 и CVE-2025-20362 [1 и 2].
Cisco
Cisco Security Advisory: Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
Update: On November 5, 2025, Cisco became aware of a new attack variant against devices running Cisco Secure ASA Software or Cisco Secure FTD Software releases that are affected by CVE-2025-20333 and CVE-2025-20362. This attack can cause unpatched devices to unexpectedly reload, leading to denial of service (DoS) conditions. Cisco strongly recommends that all customers upgrade to the fixed software releases that are listed in the Fixed Software section of this advisory.
A vulnerability in the VPN web server of Cisco Secure Firewall Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code on an affected device.
This vulnerability is due to improper validation of user-supplied input in HTTP(S) requests. An attacker with valid VPN user credentials could exploit this vulnerability by sending crafted HTTP requests to an affected device. A successful exploit could allow the attacker to execute arbitrary…
91 10K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram