Cisco har släppt en ny kritisk sårbarhet med CVSS-poäng 9.9 för Cisco Secure Firewall Adaptive Security Appliance Software (ASA) och Secure Firewall Threat Defence Software (FTD) VPN Web Server Remote Code Execution (”z5xP8EUB”).
”A vulnerability in the VPN web server of Cisco Secure Firewall Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code on an affected device.”
Denna sårbarhet påverkar ASA- och FTD-enheter som har konfigurerade SSL- eller webb-VPN-tjänster. Den utnyttjas redan aktivt av angripare.
> Identifiera potentiellt skadlig trafik
Berörda produkter:
Denna sårbarhet påverkar Cisco Secure Firewall ASA och FTD-enheter med aktiverade SSL-/webb-VPN-tjänster.
Vad det innebär för er:
En angripare kan, om sårbarheten finns i er miljö, ta full kontroll över brandväggen eller komma åt funktioner som normalt kräver inloggning. Detta kan i värsta fall ge åtkomst till ert interna nätverk.
Så kontrollerar ni om ni är påverkade:
- Kontrollera om ni använder Cisco (Secure Firewall) ASA eller FTD där VPN-webbservern är aktiverad.
- Använd Cisco Software Checker för att verifiera påverkan: Cisco Software Checker
- Granska loggar för misstänkt VPN-trafik eller okända inloggningar.
Rekommenderade åtgärder:
Alternativ 1: (Rekommenderad): Uppgradera till en fixad version. Se länk under ”Åtgärdade Versioner”.
Alternativ 2: (Tillfällig mitigering) Risken kan även begränsas genom att inaktivera alla SSL/TLS-baserade VPN-webbtjänster. Detta inkluderar att stänga av IKEv2-klienttjänster som används för att uppdatera klienternas programvara och profiler samt att inaktivera samtliga SSL VPN-tjänster.
Notis: Alla fjärråtkomstfunktioner via SSL VPN upphör då att fungera
Om kompromiss misstänks eller bekräftas:
Behandla all befintlig konfiguration som otillförlitlig. Efter uppgradering till en fixad version, återställ enheten till fabriksstandard (configure factory-default). Om kommandot inte stöds, använd write erase följt av reload. Konfigurera om från grunden med nya lokala lösenord, certifikat och nycklar. Övervaka loggar och nätverkstrafik för tecken på angrepp.
Viktigt att känna till:
- Det finns inga workarounds som helt åtgärdar denna sårbarhet långsiktigt – uppgradering krävs.
- Angripare fortsätter att aktivt söka och utnyttja sårbara enheter.
- Flera sårbarheter (ex. CVE-2025-20333 (9.9), CVE-2025-20363 (9.0), CVE-2025-20362 (6.5)) förekommer samtidigt och kan användas i kedja, vilket ökar risken avsevärt.
Åtgärdade versioner:
Se följande länk från Cisco under ”Fixed Releases”: https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks – Fixed
Detaljer:
Mer information om sårbarheten finns på Ciscos hemsida.
Tveka inte att kontakta oss på [email protected] eller +46 8 650 15 20 om du har ytterligare frågor.
Identifiera potentiellt skadlig trafik
Följande text beskriver metoder för att identifiera potentiellt skadlig trafik som riktar sig mot enheter som kör Cisco ASA- eller FTD-programvara och som används som VPN enheter.
Detta berör enheter med SSL VPN-konfigurationer samt klient VPN som använder IKEv2 .
Detektionsvägledning
Följande detektionslogik och vägledning är inte ett slutgiltigt bevis på intrång, men utgör en solid grund för att identifiera potentiellt skadlig aktivitet som motiverar en mer ingående insamling och analys av forensiska data.
Hotaktören skannar intressanta mål från skadliga IP-adresser och som ständigt ändras för att undvika upptäckt, men att bara observera skanningstrafik från hotaktören behöver inte betyda att enheten är komprometterad.
Syslog-ändringar
Följande syslog-ID har observerats manipuleras av denna hotaktör som en forensisk motåtgärd. Detta sker i minnet och syns inte i running-config.
- 302013 (“informational” level)
- 302014 (“informational” level)
- 609002 (“debug” level)
- 710005 (“debug” level)
Frånvaron eller volymförändringen (nedåt) av dessa meddelanden i loggarna fungerar som en indikator på att det kan förekomma skadlig aktivitet i ditt nätverk. Historisk analys av dessa syslog-ID kan också ge bevis på en potentiell tidigare kompromettering. I båda fallen rekommenderas fullständig forensisk insamling.
Manipulering av ”checkheaps”
Denna hotaktör har observerats inaktivera checkheaps-funktionen. Som standard körs checkheaps en gång var 60:e sekund. Kommandot ”show checkheaps” ger liknande utdata:
Checkheaps stats from buffer validation runs
——————————————–
| Time elapsed since last run | 52 secs |
| Duration of last run | 32 millisecs |
| Number of buffersreated | 90853 |
| Number of buffers allocated | 90600 |
| Number of buffers free | 253 |
| Total memory in use | 2164782064 bytes |
| Total memory in free buffers | 74068 bytes |
| Total number of runs | 217 |
Detta kommando bör köras en gång i minuten under en period av fem minuter. Det bör ske en märkbar förändring i räknaren för ”Total number of runs”. Om det inte sker någon märkbar positiv förändring i detta värde är det ett tecken på en potentiell säkerhetsöverträdelse och fullständig forensisk insamling rekommenderas.
”Omöjlig resa”
Denna hotaktör har observerats använda stulna inloggningsuppgifter för att upprätta autentiserade VPN-anslutningar. I alla observerade fall har anslutningarna kommit från USA, men har varierat kraftigt vad gäller geografisk plats, ofta med tusentals kilometers skillnad. Det rekommenderas att käll-IP-adressen för till synes giltiga VPN-anslutningar profileras för att identifiera omöjliga resor, vilket kan vara en indikator på att skadlig aktivitet förekommer.
Om samma användare ansluter från två olika platser inom en tidsperiod som är kortare än den tid det skulle ta att resa mellan de två platserna med konventionellt flyg, är det en ”omöjlig resa”.
Fel vid verifiering av bootloader och/eller ROMMON
Kunder som har uppgraderat Cisco ASA 5512-X-, 5515-X-, 5525-X-, 5545-X- eller 5555-X-enhet till Cisco ASA Software Release 9.12.4.72 eller 9.14.4.28 bör leta efter en fil som heter firmware_update.log på disk0:. Förekomsten av den filen kan tyda på att enheten blivit komprometterad.
Om filen finns på disk0: efter uppgradering till en korrigerad version, bör kunderna öppna ett ärende hos Cisco TAC och bifoga utdata från kommandot ”show tech-support” samt innehållet i filen firmware_update.log.
Kunderna bör också övervaka enhetens konsol under den initiala uppstarten av enheten under uppgraderingen till Cisco ASA Software Release 9.12.4.72 eller 9.14.4.28. Om följande meddelanden visas indikerar det att den mekanism som observerats i denna attackkampanj inte fanns på denna enhet (meddelande-ID kan variera):
Message #113 : Verifying bootloader: Message #114 : .Message #115 : .Message #116 : .Message #117 :
Bootloader verification succeeded.
Message #118 : Verifying ROMMON: Message #119 : .Message #120 :
.Message #121 :
.Message #122 : .Message #123 :
ROMMON verification succeeded.
Om de markerade meddelandena istället skulle börja med Bootloader verification failed at address och/eller ROMMON verification failed at address, skulle det vara ett tecken på att den mekanism som observerats i denna attackkampanj fanns på denna enhet. I detta fall skulle en fil med namnet firmware_update.log skrivas till disk0: (eller läggas till om filen finns) och enheten startas om för att ladda ett rent system omedelbart därefter.
Kontakta oss på [email protected] för att komma i kontakt med våra experter.