30/09/25
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило «экстренную директиву 25-03», требующую от всех федеральных гражданских ведомств срочно проверить и обезопасить свои устройства, чтобы остановить масштабную кампанию злоумышленников.
Уязвимость связана с использованием сразу нескольких ранее неизвестных ошибок в системах Cisco, которые позволяют удалённо запускать произвольный код без авторизации и даже изменять ROM для сохранения контроля после перезагрузки и обновлений. Под удар попали как ASA, так и Firepower Threat Defense.
Сама Cisco связывает атаку с кампанией ArcaneDoor, впервые зафиксированной ещё в 2024 году, пишет Securitylab. При этом часть современных Firepower-защит имеет механизм Secure Boot, способный выявлять вмешательство, однако значительное число ASA остаётся полностью уязвимым.
Ситуация вызвала резонанс далеко за пределами США. Национальное агентство Франции CERT-FR опубликовало бюллетень CERTFR-2025-ALE-013, подтвердив, что эксплуатируются уязвимости CVE-2025-20333 и CVE-2025-20362 в разных версиях ASA и FTD. Австралийский центр кибербезопасности ACSC рекомендовал владельцам ASA 5500-X отключить IKEv2 и SSL VPN до выхода исправлений. Канадский центр кибербезопасности предупредил о глобальном распространении сложного вредоносного ПО, которое особенно опасно для устройств, снятых с поддержки.
Директива 25-03 детально регламентирует действия американских ведомств. До конца сентября организации должны передать дампы памяти всех публично доступных ASA в CISA, отключить и зафиксировать любые скомпрометированные устройства, обновить всё программное обеспечение и начать вывод из эксплуатации оборудования, у которого срок поддержки истекает 30 сентября 2025 года.
Для моделей с окончанием поддержки в августе 2026 года предписывается установка любых обновлений в течение 48 часов после публикации. До 2 октября 2025 года все структуры обязаны предоставить CISA полный отчёт о состоянии и предпринятых мерах.
Эти требования касаются не только оборудования, находящегося непосредственно у федеральных ведомств, но и инфраструктуры в сторонних и облачных сервисах, включая FedRAMP-провайдеров. Агентства остаются ответственными за соблюдение предписаний в любых средах. Тем, кто не располагает необходимыми техническими ресурсами, CISA предложило помощь специалистов.
В дальнейшем отчёт об исполнении директивы поступит к 1 февраля 2026 года в Министерство внутренней безопасности США, к национальному директору по киберполитике, в OMB и офис федерального CISO. При этом частным и зарубежным компаниям также настоятельно советуют выполнить те же шаги по сбору дампов и поиску компрометации, чтобы выявить возможные признаки эксплуатации.
