Cisco – Sårbarhet identifierad i ASA- och FTD-enheter

Hem » Blogg » Cisco – Sårbarhet identifierad i ASA- och FTD-enheter
26. september 2025

Cisco har släppt en ny kritisk sårbarhet med CVSS-poäng 9.9 för Cisco Secure Firewall Adaptive Security Appliance Software (ASA) och Secure Firewall Threat Defence Software (FTD) VPN Web Server Remote Code Execution (”z5xP8EUB”).

”A vulnerability in the VPN web server of Cisco Secure Firewall Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code on an affected device.”

Denna sårbarhet påverkar ASA- och FTD-enheter som har konfigurerade SSL- eller webb-VPN-tjänster. Den utnyttjas redan aktivt av angripare.

Berörda produkter:

Denna sårbarhet påverkar Cisco Secure Firewall ASA och FTD-enheter med aktiverade SSL-/webb-VPN-tjänster.

Vad det innebär för er:

En angripare kan, om sårbarheten finns i er miljö, ta full kontroll över brandväggen eller komma åt funktioner som normalt kräver inloggning. Detta kan i värsta fall ge åtkomst till ert interna nätverk.

Så kontrollerar ni om ni är påverkade:

  1. Kontrollera om ni använder Cisco (Secure Firewall) ASA eller FTD där VPN-webbservern är aktiverad.
  2. Använd Cisco Software Checker för att verifiera påverkan: Cisco Software Checker
  3. Granska loggar för misstänkt VPN-trafik eller okända inloggningar.

Rekommenderade åtgärder:

Alternativ 1: (Rekommenderad): Uppgradera till en fixad version. Se länk under ”Åtgärdade Versioner”.

Alternativ 2: (Tillfällig mitigering) Risken kan även begränsas genom att inaktivera alla SSL/TLS-baserade VPN-webbtjänster. Detta inkluderar att stänga av IKEv2-klienttjänster som används för att uppdatera klienternas programvara och profiler samt att inaktivera samtliga SSL VPN-tjänster.

Notis: Alla fjärråtkomstfunktioner via SSL VPN upphör då att fungera

Om kompromiss misstänks eller bekräftas:

Behandla all befintlig konfiguration som otillförlitlig. Efter uppgradering till en fixad version, återställ enheten till fabriksstandard (configure factory-default). Om kommandot inte stöds, använd write erase följt av reload. Konfigurera om från grunden med nya lokala lösenord, certifikat och nycklar. Övervaka loggar och nätverkstrafik för tecken på angrepp.

Viktigt att känna till:

  • Det finns inga workarounds som helt åtgärdar denna sårbarhet långsiktigt – uppgradering krävs.
  • Angripare fortsätter att aktivt söka och utnyttja sårbara enheter.
  • Flera sårbarheter (ex. CVE-2025-20333 (9.9), CVE-2025-20363 (9.0), CVE-2025-20362 (6.5)) förekommer samtidigt och kan användas i kedja, vilket ökar risken avsevärt.

Åtgärdade versioner:

Se följande länk från Cisco under ”Fixed Releases”: https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks – Fixed

Detaljer:

Mer information om sårbarheten finns på Ciscos hemsida.

Tveka inte att kontakta oss på [email protected] eller +46 8 650 15 20 om du har ytterligare frågor.