سیسکو از مشتریان خود میخواهد که دو نقص امنیتی که وب سرور VPN نرمافزار Cisco Secure Firewall Adaptive Security Appliance (ASA) و نرمافزار Cisco Secure Firewall Threat Defense (FTD) را تحت تأثیر قرار میدهد و به گفته این شرکت در سطح اینترنت مورد بهرهبرداری قرار گرفتهاند، برطرف کنند.
آسیبپذیریهای روز صفر موردبحث در زیر فهرست شدهاند:
- [۱]CVE-2025-20333 (امتیاز ۹٫۹ در CVSS) – اعتبارسنجی نامناسب ورودی ارائهشده توسط کاربر در درخواستهای HTTP(S) که میتواند به یک مهاجم احراز هویت شده و از راه دور با اعتبارنامههای معتبر کاربر VPN اجازه دهد تا با ارسال درخواستهای HTTP دستکاریشده، کد دلخواه را بهعنوان root در دستگاه آسیبدیده اجرا کند.
- [۲]CVE-2025-20362 (امتیاز ۶٫۵ در CVSS) – اعتبارسنجی نامناسب ورودی ارائهشده توسط کاربر در درخواستهای HTTP(S) که میتواند به یک مهاجم احراز هویت نشده و از راه دور اجازه دهد تا با ارسال درخواستهای HTTP دستکاریشده، بدون احراز هویت به نقاط انتهایی URL محدودشده دسترسی پیدا کند.
سیسکو اعلام کرد که از “تلاش برای بهرهبرداری” از هر دو آسیبپذیری آگاه است، اما فاش نکرد که چه کسی ممکن است پشت آن باشد یا این حملات چقدر گسترده هستند. گمان میرود که این دو آسیبپذیری برای دور زدن احراز هویت و اجرای کد مخرب بر روی دستگاههای حساس به هم متصل شدهاند.
همچنین از اداره سیگنالهای استرالیا، مرکز امنیت سایبری استرالیا (ACSC)، مرکز امنیت سایبری کانادا، مرکز امنیت سایبری ملی بریتانیا (NCSC) و آژانس امنیت سایبری و زیرساخت ایالاتمتحده (CISA) برای حمایت از تحقیقات قدردانی کرد.
CISA دستورالعمل اضطراری ED 25-03# را صادر کرد
CISA در یک هشدار جداگانه اعلام کرد[۳] که در حال صدور دستورالعمل اضطراری است و از آژانسهای فدرال میخواهد تا فوراً آسیبپذیریهای احتمالی را شناسایی، تجزیهوتحلیل و کاهش دهند. علاوه بر این، هر دو آسیبپذیری به فهرست آسیبپذیریهای شناختهشده مورد بهرهبرداری (KEV) اضافه شدهاند[۴] و به آژانسها ۲۴ ساعت فرصت داده شده است تا اقدامات لازم را برای کاهش آنها انجام دهند.
این آژانس خاطرنشان کرد[۵]: “CISA از یک کمپین بهرهبرداری مداوم توسط یک عامل تهدید پیشرفته که Cisco Adaptive Security Appliances (ASA) را هدف قرار میدهد، آگاه است.”
«این کمپین گسترده است و شامل بهرهبرداری از آسیبپذیریهای روز صفر برای اجرای کد از راه دور احراز هویت نشده در ASAها و همچنین دستکاریشده حافظه فقط خواندنی (ROM) برای ادامه از طریق راهاندازی مجدد و ارتقاء سیستم است. این فعالیت خطر قابلتوجهی را برای شبکههای قربانی ایجاد میکند.»
این آژانس همچنین خاطرنشان کرد که این فعالیت با یک خوشه تهدید به نام ArcaneDoor[6] مرتبط است که قبلاً بهعنوان هدف قرار دادن دستگاههای شبکه محیطی از چندین فروشنده، ازجمله سیسکو، برای ارائه خانوادههای بدافزار مانند Line Runner و Line Dancer شناسایی شده بود. این فعالیت به یک عامل تهدید با نام رمز UAT4356 (معروف به Storm-1849) نسبت داده شد.
CISA افزود: «این عامل تهدید حداقل تا اوایل سال ۲۰۲۴ توانایی تغییر موفقیتآمیز ROM ASA را نشان داده است. این آسیبپذیریهای روز صفر در پلتفرم Cisco ASA در نسخههای خاصی از Cisco Firepower نیز وجود دارند. Secure Boot دستگاههای Firepower دستکاری شناسایی شده ROM را تشخیص میدهد.»
منابع[۱] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
[۲] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
[۳] https://www.cisa.gov/news-events/alerts/2025/09/25/cisa-directs-federal-agencies-identify-and-mitigate-potential-compromise-cisco-devices
[۴] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۵] https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices
[۶] https://thehackernews.com/2024/05/china-linked-hackers-suspected-in.html
[۷] https://thehackernews.com/2025/09/urgent-cisco-asa-zero-day-duo-under.html
ثبت ديدگاه