02/10/25
Уязвимости получили идентификаторы CVE-2025-20333 и CVE-2025-20362. Они позволяют выполнять произвольный код и обращаться к закрытым URL-эндпоинтам, связанным с VPN-доступом. Эксплуатация возможна удалённо и не требует аутентификации.
Компания Cisco 25 сентября сообщила, что атаки начались ещё до выхода исправлений. Обходных решений для снижения рисков не существует, единственными временными шагами защиты могут быть ограничение доступности VPN-веб-интерфейса и усиленный контроль подозрительных авторизаций и специально сформированных HTTP-запросов, пишет Securitylab.
Согласно сканированию The Shadowserver Foundation от 29 сентября, в сети остаётся почти 49 тысяч уязвимых устройств. Больше всего таких инстансов находится в США — свыше 19 тысяч. Далее следуют Великобритания (2800), Япония (2300), Германия (2200), Россия (2100), Канада (1500) и Дания (1200). Эти цифры говорят о том, что значительная часть администраторов пока не отреагировала на предупреждения и продолжающиеся атаки.
О том, что атаки готовятся заранее, свидетельствовали данные Greynoise: 4 сентября они зафиксировали подозрительные сканирования Cisco ASA, которые начались ещё в конце августа. В 80% случаев подобная активность означает подготовку к использованию новых уязвимостей.
Опасность ситуации подтвердила и Агентство по кибербезопасности и инфраструктурной безопасности США. Оно выпустило экстренное предписание, потребовав за сутки проверить все Cisco ASA и FTD в федеральных ведомствах и обновить те устройства, что планируется оставить в эксплуатации. Аппараты, достигшие конца срока поддержки, предписано отключить от правительственных сетей до конца сентября.
Свою аналитику предоставил и Национальный центр кибербезопасности Великобритании. По его данным, атакующие загружают на скомпрометированные устройства загрузчик шеллкода Line Viper, а затем внедряют буткит RayInitiator, запускающийся через GRUB. Это указывает на высокий уровень подготовки атакующих и серьёзные последствия для администрируемых сетей.
