- Специальный корреспондент
Cisco призывает срочно искать признаки компрометации, даже если вы уже обновились.
Более 48 тысяч экранов Cisco ASA и Firepower Threat Defense остаются незащищёнными перед двумя критическими уязвимостями, которые уже активно используются злоумышленниками. Уязвимости получили идентификаторы и . Они позволяют выполнять произвольный код и обращаться к закрытым URL-эндпоинтам, связанным с VPN-доступом. Эксплуатация возможна удалённо и не требует аутентификации.
Компания Cisco 25 сентября сообщила, что атаки начались ещё до выхода исправлений. Обходных решений для снижения рисков не существует, единственными временными шагами защиты могут быть ограничение доступности VPN-веб-интерфейса и усиленный контроль подозрительных авторизаций и специально сформированных HTTP-запросов.
Согласно The Shadowserver Foundation от 29 сентября, в сети остаётся почти 49 тысяч уязвимых устройств. Больше всего таких инстансов находится в США — свыше 19 тысяч. Далее следуют Великобритания (2800), Япония (2300), Германия (2200), Россия (2100), Канада (1500) и Дания (1200). Эти цифры говорят о том, что значительная часть администраторов пока не отреагировала на предупреждения и продолжающиеся атаки.
О том, что атаки готовятся заранее, свидетельствовали данные Greynoise: 4 сентября они зафиксировали подозрительные сканирования Cisco ASA, которые начались ещё в конце августа. В 80% случаев подобная активность означает подготовку к использованию новых уязвимостей.
Опасность ситуации подтвердила и Агентство по кибербезопасности и инфраструктурной безопасности США. Оно выпустило экстренное предписание, потребовав за сутки проверить все Cisco ASA и FTD в федеральных ведомствах и обновить те устройства, что планируется оставить в эксплуатации. Аппараты, достигшие конца срока поддержки, предписано отключить от правительственных сетей до конца сентября.
Свою аналитику предоставил и Национальный центр кибербезопасности Великобритании. По его данным, атакующие загружают на скомпрометированные устройства загрузчик шеллкода Line Viper, а затем внедряют буткит RayInitiator, запускающийся через GRUB. Это указывает на высокий уровень подготовки атакующих и серьёзные последствия для администрируемых сетей.
С учётом того, что эксплуатация CVE-2025-20333 и CVE-2025-20362 продолжается уже больше недели, Cisco рекомендует администраторам срочно установить исправления и провести проверку инфраструктуры на признаки компрометации.
Более 48 тысяч экранов Cisco ASA и Firepower Threat Defense остаются незащищёнными перед двумя критическими уязвимостями, которые уже активно используются злоумышленниками. Уязвимости получили идентификаторы и . Они позволяют выполнять произвольный код и обращаться к закрытым URL-эндпоинтам, связанным с VPN-доступом. Эксплуатация возможна удалённо и не требует аутентификации.
Компания Cisco 25 сентября сообщила, что атаки начались ещё до выхода исправлений. Обходных решений для снижения рисков не существует, единственными временными шагами защиты могут быть ограничение доступности VPN-веб-интерфейса и усиленный контроль подозрительных авторизаций и специально сформированных HTTP-запросов.
Согласно The Shadowserver Foundation от 29 сентября, в сети остаётся почти 49 тысяч уязвимых устройств. Больше всего таких инстансов находится в США — свыше 19 тысяч. Далее следуют Великобритания (2800), Япония (2300), Германия (2200), Россия (2100), Канада (1500) и Дания (1200). Эти цифры говорят о том, что значительная часть администраторов пока не отреагировала на предупреждения и продолжающиеся атаки.
О том, что атаки готовятся заранее, свидетельствовали данные Greynoise: 4 сентября они зафиксировали подозрительные сканирования Cisco ASA, которые начались ещё в конце августа. В 80% случаев подобная активность означает подготовку к использованию новых уязвимостей.
Опасность ситуации подтвердила и Агентство по кибербезопасности и инфраструктурной безопасности США. Оно выпустило экстренное предписание, потребовав за сутки проверить все Cisco ASA и FTD в федеральных ведомствах и обновить те устройства, что планируется оставить в эксплуатации. Аппараты, достигшие конца срока поддержки, предписано отключить от правительственных сетей до конца сентября.
Свою аналитику предоставил и Национальный центр кибербезопасности Великобритании. По его данным, атакующие загружают на скомпрометированные устройства загрузчик шеллкода Line Viper, а затем внедряют буткит RayInitiator, запускающийся через GRUB. Это указывает на высокий уровень подготовки атакующих и серьёзные последствия для администрируемых сетей.
С учётом того, что эксплуатация CVE-2025-20333 и CVE-2025-20362 продолжается уже больше недели, Cisco рекомендует администраторам срочно установить исправления и провести проверку инфраструктуры на признаки компрометации.
