Компания Cisco Systems выпустила срочное предупреждение о безопасности, касающееся шести критических уязвимостей в реализации протокола Internet Key Exchange Version 2 (IKEv2), которые могут быть использованы для удаленных атак типа «отказ в обслуживании» (DoS) на сетевые и защитные продукты компании. Уязвимости затрагивают такие линейки продуктов, как IOS, IOS XE, Secure Firewall Adaptive Security Appliance (ASA) и Threat Defense (FTD).
Суть угрозы
Эксперты Cisco выявили несколько проблем в обработке IKEv2-пакетов, которые позволяют злоумышленникам вызывать сбои в работе устройств без необходимости аутентификации. Эти уязвимости получили идентификаторы CVE-2025-20224, CVE-2025-20225, CVE-2025-20239, CVE-2025-20252, CVE-2025-20253 и CVE-2025-20254. Наиболее опасная из них - CVE-2025-20253 с оценкой 8.6 по шкале CVSS.
Атака возможна путем отправки специально сформированных пакетов через сеть, что приводит к различным негативным последствиям:
- Для IOS и IOS XE - возможен мгновенный перезапуск устройства, что приведет к временному отключению сервисов.
- Для Secure Firewall ASA и FTD - частичное исчерпание памяти, из-за чего новые VPN-соединения не смогут устанавливаться. В этом случае потребуется ручной перезапуск системы.
- Общие риски - уязвимости могут вызывать утечки памяти или бесконечные циклы обработки данных, что делает устройства уязвимыми даже для относительно простых атак.
Cisco отмечает, что на текущий момент не зафиксировано случаев эксплуатации этих уязвимостей в реальных атаках, однако публикация технических деталей может спровоцировать киберпреступников на активные действия.
Какие продукты подвержены риску?
Уязвимости затрагивают широкий спектр устройств Cisco, включая:
- IOS Software (в различных версиях)
- IOS XE Software
- Secure Firewall ASA
- Secure Firewall Threat Defense (FTD)
При этом продукты IOS XR, Meraki, NX-OS и Secure Firewall Management Center (FMC) не подвержены данным уязвимостям.
Для проверки наличия уязвимостей администраторам рекомендуется использовать специальные команды:
Для IOS и IOS XE:
- "show udp | include 500" (определяет активность обработки IKE)
- "show crypto map" (подтверждает использование IKEv2)
Для ASA и FTD:
- "show running-config crypto ikev2 | include enable" (проверяет активацию IKEv2 на интерфейсах)
Рекомендации Cisco
Компания уже выпустила обновления, устраняющие данные уязвимости, и настоятельно рекомендует установить их как можно скорее. В отличие от некоторых других случаев, обходных решений (workarounds) не существует, что делает обновление единственным надежным методом защиты.
Для поиска нужных патчей Cisco предлагает использовать Software Checker, инструмент, который помогает определить уязвимые версии ПО и подобрать подходящие обновления. Пользователи без действующих контрактов на поддержку могут запросить исправления в Технической поддержке Cisco, предоставив ссылку на публикацию в качестве подтверждения.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20224
- https://www.cve.org/CVERecord?id=CVE-2025-20225
- https://www.cve.org/CVERecord?id=CVE-2025-20239
- https://www.cve.org/CVERecord?id=CVE-2025-20252
- https://www.cve.org/CVERecord?id=CVE-2025-20253
- https://www.cve.org/CVERecord?id=CVE-2025-20254
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ios-dos-DOESHWHy
