Компания Cisco Systems выпустила срочное обновление безопасности, устраняющее критическую уязвимость в нескольких ключевых платформах для управления сетевой инфраструктурой. Уязвимость, получившая идентификатор CVE-2025-20363, позволяет удаленному злоумышленнику выполнить произвольный код с привилегиями суперпользователя root, что приводит к полному компрометированию устройства. Оценка по шкале CVSS 3.1 составляет максимальные 9.0 баллов, что подчеркивает исключительную серьезность угрозы.
Детали уязвимости
Проблема кроется в недостаточной проверке пользовательского ввода в HTTP-запросах, которые используются для управления устройствами. Это недостаток безопасности затрагивает такие флагманские продукты Cisco, как межсетевые экраны Secure Firewall ASA (Adaptive Security Appliance) и Secure Firewall Threat Defense (FTD), а также операционные системы маршрутизаторов IOS, IOS XE и IOS XR. Особую озабоченность у экспертов вызывает различие в условиях эксплуатации уязвимости на разных платформах. Для межсетевых экранов ASA и FTD атака не требует аутентификации. Неавторизованный злоумышленник может отправить специально сформированный вредоносный HTTP-трафик напрямую к перехваченным веб-сервисам с поддержкой SSL, обходя механизмы защиты от эксплуатации после сбора информации о системе.
На платформах IOS, IOS XE и IOS XR для успешной атаки требуется наличие учетной записи пользователя с низкими привилегиями. Авторизовавшись, такой злоумышленник может использовать ту же слабость в HTTP-сервисах для получения прав root-доступа. Столь высокий уровень привилегий предоставляет полный контроль над устройством, позволяя перехватывать трафик, изменять конфигурации безопасности, устанавливать вредоносное ПО или использовать устройство как плацдарм для атак на внутреннюю сеть.
Корпорация Cisco классифицировала воздействие уязвимости как критическое, поскольку атака возможна через сеть без какого-либо взаимодействия с пользователем и ведет к полной потере конфиденциальности, целостности и доступности системы. На текущий момент не существует каких-либо обходных путей решения проблемы; единственным эффективным методом защиты является установка обновлений программного обеспечения. Затронутые конфигурации охватывают широкий спектр продуктов и функций, включая наличие настроек "webvpn" или "crypto ssl policy" на устройствах ASA/FTD и IOS/XE, а также активированный HTTP-сервер на IOS XR.
Для помощи клиентам Cisco предоставила инструмент Software Checker, с помощью которого можно проверить, используются ли уязвимые версии программного обеспечения, и определить ближайшую доступную исправленную версию. Для межсетевых экранов ASA и FTD информация об исправленных выпусках приведена в разделе «Fixed Software» самого бюллетеня безопасности. Пользователям операционных систем IOS и IOS XE также рекомендуется использовать Software Checker. Владельцам маршрутизаторов ASR-9001 с 32-разрядной версией IOS XR необходимо обратиться в службу технической поддержки Cisco (TAC) для получения специальных патчей SMU (Software Maintenance Updates). На данный момент не зафиксировано случаев активного использования этой уязвимости в реальных атаках.
Открытие уязвимости стало результатом работы Киана О’Келли из группы перспективных инициатив в области безопасности Cisco в процессе рассмотрения обращений в службу поддержки TAC. Подразделение реагирования на инциденты безопасности продуктов Cisco (PSIRT) выражает благодарность нескольким национальным центрам кибербезопасности за содействие в исследовании инцидента. Компания настоятельно рекомендует немедленно применить исправленные версии программного обеспечения для всех затронутых межсетевых экранов и маршрутизаторов. Клиентам, которые не могут выполнить прямое обновление или не имеют действующего сервисного контракта, следует обратиться за помощью в Cisco TAC.
Невыполнение мер по устранению уязвимости подвергает критически важную сетевую инфраструктуру риску полного захвата удаленными противниками. В условиях отсутствия рабочих обходных путей быстрое развертывание патчей является единственной эффективной мерой для поддержания безопасности платформ Cisco и предотвращения потенциально катастрофических последствий для бизнеса, включая утечку данных, длительные простои и репутационный ущерб.
Ссылка
- https://www.cve.org/CVERecord?id=CVE-2025-20363
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
