Aktywnie wykorzystywane krytyczne podatności w urządzeniach Cisco ASA i Cisco Firepower

Trwa kampania, w której atakujący wykorzystują podatności w celu przejęcia kontroli nad podatnymi urządzeniami Cisco ASA serii 5500-X.

Firma Cisco opublikowała informację o trzech podatnościach:

• CVE-2025-20362 - umożliwa dostęp do zasobów o ograniczonym dostępie bez uwierzytelnienia.

• CVE-2025-20333 - umożliwia uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu jako root.

• CVE-2025-20363 - umożliwia uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu jako root.

Trwa kampania, w której atakujący wykorzystują CVE-2025-20362 oraz CVE-2025-20333 w celu przejęcia kontroli nad podatnymi urządzeniami Cisco ASA serii 5500-X.

Połączenie tych dwóch luk umożliwia adwersarzowi zdalne wykonanie dowolnego kodu z uprawnieniami administratora bez uwierzytelnienia.

Więcej informacji na temat zagrożenia i metod przeciwdziałania można znaleźć na stronie producenta: https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

Rekomendujemy bezzwłoczne wdrożenie poprawek zalecanych przez producenta.

Instrukcja weryfikacji czy urządzenie zostało zaatakowane znajduje się pod adresem: https://www.cisa.gov/news-events/directives/supplemental-direction-ed-25-03-core-dump-and-hunt-instructions

W przypadku wykrycia śladów ataku prosimy o zgłoszenie incydentu do właściwego CSIRT-u szczebla krajowego.

Więcej informacji odnośnie poszczególnych podatności można znaleźć na stronie producenta:

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O