Cisco Systems выпустила экстренное уведомление о безопасности, предупреждая о критической уязвимости нулевого дня в программном обеспечении Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD). Уязвимость, получившая идентификатор CVE-2025-20333, уже активно эксплуатируется злоумышленниками в реальных условиях. Оценка по шкале CVSS 3.1 составляет максимальные 9.9 баллов, что классифицирует её как критическую.
Детали уязвимостей
Проблема заключается в компоненте VPN веб-сервера упомянутых продуктов. Согласно официальному заявлению Cisco, опубликованному 25 сентября 2025 года, уязвимость является результатом недостаточной проверки вводимых пользователем данных в HTTP(S) запросах. Аутентифицированный злоумышленник, обладающий действительными учетными данными для доступа к VPN, может отправить специально сформированный запрос на портал VPN, что приведет к выполнению произвольного кода с правами пользователя root. Успешная эксплуатация уязвимости предоставляет полный контроль над целевой системой, позволяя нарушителю устанавливать вредоносное программное обеспечение, красть конфиденциальные данные или использовать устройство в качестве плацдарма для дальнейшего продвижения в корпоративную сеть.
Параллельно с критической уязвимостью удаленного выполнения кода (RCE) Cisco сообщила о проблеме средней severity (серьёзности) CVE-2025-20362 с оценкой CVSS 6.5. Данная уязвимость, связанная с недостатками контроля доступа (CWE-862), позволяет неаутентифицированным атакующим получать доступ к ограниченным URL-эндпоинтам, минуя проверки авторизации. Хотя эта уязвимость сама по себе не приводит к непосредственному выполнению кода, она способна серьезно ослабить систему безопасности, выступая в качестве первого этапа для более сложных атак, таких как сканирование внутренней сети или получение информации о системе.
Обе уязвимости имеют схожие корневые причины, связанные с некорректной обработкой входящих HTTP(S) запросов. Затронутыми являются все устройства ASA или FTD, на которых работает уязвимая версия программного обеспечения и активирована функция webvpn или удаленного доступа AnyConnect IKEv2. В группе риска находятся конфигурации, открывающие SSL-сокеты для прослушивания, например, с использованием команд "crypto ikev2 enable <interface> client-services port <port_numbers>" и "webvpn enable <interface>". Устройства FTD, управляемые через Cisco Secure Firewall Management Center (FMC) или Device Manager (FDM) с включенной функцией удаленного доступа VPN, также подвержены угрозе. При этом важно отметить, что программное обеспечение Cisco Secure FMC само по себе не затронуто.
Cisco в своем бюллетене безопасности с идентификатором "cisco-sa-asaftd-webvpn-z5xP8EUB" и внутренним Bug ID CSCwq79831 настоятельно рекомендует всем клиентам немедленно обновить программное обеспечение до исправленной версии. На текущий момент не существует каких-либо временных решений (workaround), которые бы полностью устраняли данные уязвимости. Компания подчеркивает, что промедление с установкой обновлений создает чрезвычайно высокий риск для безопасности организации.
После успешного обновления Cisco советует администраторам провести дополнительную настройку систем обнаружения угроз для VPN-сервисов. Эта мера направлена на защиту от атак методом перебора учетных данных, атак на инициализацию клиента и блокировку невалидных подключений к сервисам. Подробные инструкции по настройке содержатся в руководстве по конфигурации Cisco Secure Firewall ASA CLI в разделе «Configure Threat Detection for VPN Services».
Группа реагирования на инциденты безопасности Cisco (PSIRT) подтвердила, что уязвимость CVE-2025-20333 была обнаружена в ходе рассмотрения обращения в службу технической поддержки (TAC) и уже используется злоумышленниками. Этот факт делает ситуацию особенно острой и требует безотлагательных действий от администраторов корпоративных сетей по всему миру. Эксперты по кибербезопасности единогласно советуют выделить проверку и обновление устройств Cisco ASA и FTD в качестве наивысшего приоритета для предотвращения полного захвата систем, который может привести к катастрофическим последствиям, включая операционный и репутационный ущерб. Для определения уязвимых версий и получения информации о необходимых исправлениях следует использовать онлайн-инструмент Cisco Software Checker.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20333
- https://www.cve.org/CVERecord?id=CVE-2025-20362
- https://nvd.nist.gov/vuln/detail/cve-2025-20333
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
