Уязвимости в Cisco ASA, Cisco FTD и Cisco IOS: новые эксплуатируемые уязвимости

Уязвимости в Cisco ASA, Cisco FTD и Cisco IOS: новые эксплуатируемые уязвимости

В устройствах Cisco обнаружены уязвимости, с помощью которых злоумышленники могут захватить управление над Cisco Adaptive Security Appliance и Cisco Firepower Threat Defense
29 сентября 2025 г.

В конце сентября 2025 года Cisco опубликовала бюллетени о ряде критических уязвимостей, затрагивающих несколько семейств устройств. Три из них — CVE-2025-20333, CVE-2025-20362 и CVE-2025-20352 — уже эксплуатируются в реальных атаках, CVE-2025-20363 признана высокорисковой и может вскоре начать эксплуатироваться злоумышленниками.

Как эксплуатируют уязвимости

В уязвимостях эксплуатируется либо веб-сервис SSL-VPN, либо сервис SNMP с известным read-only community string.

  • CVE-2025-20333 (ASA/FTD): переполнение буфера в веб-сервисах приводит к удаленному выполнению кода с правами root. По бюллетеню Cisco уязвимость требует валидных VPN — учетных данных, однако ее можно комбинировать вместе с CVE-2025-20362 для неаутентифицированной эксплуатации. Все атаки идут по HTTPS.
  • CVE-2025-20362 (ASA/FTD): ошибка отсутствия авторизации дает доступ к защищенным URL-эндпоинтам без аутентификации. Используется в цепочке для обхода требования учетных данных в CVE-2025-20333.
  • CVE-2025-20363 (ASA/FTD, IOS / IOS XE / IOS XR): переполнение кучи в HTTP-сервисах. Для ASA/FTD аутентификация не требуется, для IOS / IOS XE / IOS XR нужны низкопривилегированные учетные данные. Во всех сценариях возможно RCE с правами root.
  • CVE-2025-20352 (IOS/IOS XE/IOS XR): переполнение кучи при обработке SNMP-запросов. Злоумышленник, обладающий read-only community string (в случае использования SNMPv1 и v2) или учетными данными (в случае использования SNMPv3) может вызвать отказ в обслуживании или выполнять команды с правами root.

Какие продукты под угрозой

Список уязвимых версий очень объемный — используйте Cisco Software Checker.

  • Cisco Secure Firewall ASA/FTD — для CVE-2025-20333 и CVE-2025-20362.
  • Cisco Secure Firewall ASA/FTD, Cisco IOS, IOS XE, IOS XR — для CVE-2025-20363 и CVE-2025-20352.

Признаки потенциально уязвимых устройств

CVE-2025-20333, CVE-2025-20362 и CVE-2025-20363:

  • CISCO ASA:
    • Включенный SSL-VPN.
    • Включенный Mobile user security (MUS).
    • Включенный AnyConnect IKEv2 Remote Access (with client services).
  • CISCO FTD:
    • Включенный SSL-VPN.
    • Включенный Mobile User Security (MUS).

Устройства под управлением Cisco IOS and Cisco IOS XE (CVE-2025-20352): доступный наружу SNMP со слабыми community strings или учетными данными.

Как защититься

  1. Как можно скорее установите официальные исправления. Для всех четырех CVE доступны обновления.
  2. Оцените экспозицию на внешнем периметре. В первую очередь устройства с включенным SSL-VPN/AnyConnect.
  3. Временно отключите веб-сервисы SSL-VPN, если обновление прямо сейчас невозможно, и обновите доступ к управлению по сети (ACL/VPN, управление только с jump host).

Как помогают наши решения

BI.ZONE CPT может оперативно просканировать внешнюю поверхность вашей инфраструктуры и подсветить все устройства и сервисы, подпадающие под текущие угрозы (включая SSL-VPN/AnyConnect, слабые community strings в SNMP). Интеграция с BI.ZONE Threat Intelligence приоритизирует находки по фактам эксплуатации и помогает сосредоточиться на реально опасных векторах.

Свяжитесь с нами, чтобы минимизировать риски и обеспечить спокойствие за безопасность внешнего периметра без лишних затрат времени и ресурсов.

Полезные материалы

#атаки
#уязвимости
#рекомендации
#продукты