CISA要求联邦机构修补思科防火墙设备零日漏洞

美国网络安全和基础设施安全局已指示联邦机构修补影响某些思科系统设备的两个零日漏洞。

CISA官员周四发布了这一指令。相关的零日漏洞CVE-2025-20362和CVE-2025-20333影响思科ASA 5500-X系列防火墙设备中的某些系统。该公司为这些系统提供支持和更新，但不再销售它们。

这些漏洞影响在思科添加安全启动和信任锚这两项网络安全功能之前制造的ASA 5500-X系列设备。据该公司称，只有当客户激活受影响设备的内置虚拟专用网功能时，黑客才能利用这些漏洞。

CVE-2025-20362使绕过VPN的身份验证功能并访问通常受限的网络资产成为可能。另一个漏洞CVE-2025-20333使黑客能够获得根访问权限。它的严重性评级为9.9分，满分为10分。黑客正在积极利用这两个漏洞发动网络攻击。

在周四的博客文章中，思科详细说明这些网络攻击是在5月份由一组政府机构提请其注意的。这些机构已确定黑客利用ASA漏洞攻击联邦网络。据思科称，这些网络攻击被认为是其在2024年首次发现的名为ArcaneDoor的国家支持黑客活动的一部分。

"该活动范围广泛，涉及利用零日漏洞在ASA上获得未经身份验证的远程代码执行，以及操纵只读存储器来在重启和系统升级后持续存在，"CISA官员在本周向联邦机构发出的指令中详细说明。

黑客利用披露的零日漏洞安装引导工具包恶意软件。当用户启动受感染的设备时，引导工具包在操作系统启动之前激活。这使恶意软件即使在管理员重启或更新板载固件后也能保留在系统中。这种配置更改会清除许多其他类型的恶意软件。

网络攻击破坏了ASA防火墙的ROMMON，这是参与启动板载操作系统的固件。管理员还使用该固件执行某些维护任务，如恢复密码。思科确定黑客利用这些漏洞下载数据、安装恶意软件和运行终端命令。

黑客积极努力逃避检测。他们禁用了受感染设备的日志记录机制，这使收集有关违规行为的技术数据变得更加困难。在某些情况下，黑客使受感染的系统崩溃以防止诊断。

思科在周四修补了这些漏洞。它还发布了针对影响其多个软件产品的第三个漏洞的修复程序。到目前为止，思科没有发现后者漏洞被用于网络攻击的迹象。

CISA已指示联邦机构创建其网络中易受攻击的ASA系统清单。如果设备已被破坏或在9月30日之后不符合软件更新条件，则必须断开连接。不符合这些标准的设备必须在今天美国东部时间晚上11:59之前打补丁。

Q&A

Q1：CVE-2025-20362和CVE-2025-20333漏洞主要影响哪些设备？

A：这两个零日漏洞主要影响思科ASA 5500-X系列防火墙设备中的某些系统，特别是在思科添加安全启动和信任锚这两项网络安全功能之前制造的设备。只有当客户激活受影响设备的内置虚拟专用网功能时，黑客才能利用这些漏洞。

Q2：ArcaneDoor黑客活动是如何被发现的？

A：ArcaneDoor是思科在2024年首次发现的国家支持黑客活动。这些网络攻击是在5月份由一组政府机构提请思科注意的，这些机构确定黑客利用ASA漏洞攻击联邦网络。该活动范围广泛，涉及利用零日漏洞获得远程代码执行和操纵只读存储器。

Q3：CISA对联邦机构提出了哪些要求？

A：CISA指示联邦机构创建其网络中易受攻击的ASA系统清单。如果设备已被破坏或在9月30日之后不符合软件更新条件，则必须断开连接。不符合这些标准的设备必须在指定的美国东部时间晚上11:59之前打补丁。