Федеральные агентства должны выявлять и устранять уязвимости в брандмауэрах Cisco, чтобы избежать риска компрометации, в соответствии с чрезвычайной директивой Агентства по кибербезопасности и защите инфраструктуры (CISA).
Агентство CISA выпустило экстренную директиву по кибербезопасности, которая предписывает всем федеральным подразделениям выявлять и устранять уязвимости брандмауэра Cisco, которые, скорее всего, станут мишенью злоумышленников хакерской группы ArcaneDoor.
CISA выпустила бюллетень ED 25-03: Выявление и устранение потенциальной компрометации устройств Cisco в четверг, после того, как Cisco сообщила о новой активности, которая, по мнению компании, исходит от злоумышленников хакерской группы ArcaneDoor. Она нацелена на определенные устройства адаптивной безопасности Cisco и средства защиты от угроз Firepower, использующие уязвимости нулевого дня.
В CISA перечислены две наиболее распространенные уязвимости: CVE-2025-20333 и CVE-2025-20362. В директиве говорится, что они должны быть устранены до 11:59 в пятницу.
В нем говорится, что все федеральные агентства, использующие эти системы, включая локальные, контрактные или облачные, должны следовать директиве CISA. Агентства должны отправлять файлы дампов данных с уязвимых общедоступных устройств, отключать неподдерживаемые устройства и обновлять программное обеспечение на тех, которые остаются в эксплуатации. Агентства несут ответственность за проведение инвентаризации этих систем и обеспечение их соответствия директиве. В случае систем, размещенных у поставщиков, авторизованных FedRAMP, агентства должны координировать свои действия с офисом FedRAMP; в других случаях они должны работать непосредственно с поставщиком.
“Эти действия направлены на устранение непосредственного риска, оценку компрометации и информативный анализ текущей кампании по борьбе с угрозами”, - говорится в директиве.
Согласно подробному ответу Cisco на событие, компания “с высокой степенью уверенности оценивает, что это новое действие связано с той же угрозой, что и кампания по атаке ArcaneDoor, о которой Cisco сообщила в начале 2024 года. Хотя уязвимое программное обеспечение поддерживается на других аппаратных платформах с различной базовой архитектурой, а также в устройствах, на которых установлено программное обеспечение Cisco Secure FTD, у Cisco нет доказательств того, что эти платформы были успешно скомпрометированы”.
Директива также устанавливает второй крайний срок. К четвергу федеральные агентства должны предоставить в CISA полный перечень уязвимых устройств, а также информацию о предпринятых мерах по устранению последствий и результатах судебно-медицинского анализа. Требование к отчетности распространяется на все среды, в которых используются устройства Cisco ASA или Firepower.
Нефедеральные агентства также могут следовать инструкциям CISA и отправлять техническую информацию, хотя это необязательно.
Наконец, Cisco также добавила третью уязвимость, CVE-2025-20363, в свои рекомендации и рекомендует всем клиентам применять исправления.
https://www.govtech.com/securi...
Уязвимости в веб-сервере VPN, используемом в программном обеспечении Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD), могут позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве. Эта уязвимость возникает из-за неправильной проверки введенных пользователем данных в HTTP-запросах. Злоумышленник с действительными учетными данными пользователя VPN может воспользоваться этой уязвимостью, отправив обработанные HTTP-запросы на уязвимое устройство. Успешный эксплойт может позволить злоумышленнику выполнить произвольный код от имени пользователя root, что, возможно, приведет к полной компрометации уязвимого устройства.
Руководство по обнаружению продолжающихся атак ArcaneDoor на брандмауэры Cisco systems
Версия 1.1: 26 сентября 2025 г.
Информация, содержащаяся в этом документе, позволяет идентифицировать потенциально вредоносные устройства, нацеленные на трафик, работающие под управлением программного обеспечения Cisco ASA или FTD, которые настроены как головные устройства VPN.
Уязвимой конфигурацией устройства является IKEv2 с клиентскими службами и любыми конфигурациями SSL VPN.
Руководство по обнаружению
Приведенная ниже логика обнаружения и рекомендации не являются убедительными доказательствами компрометации, но служат надежной основой для выявления потенциально вредоносных действий, которые требуют более тщательного сбора и анализа криминалистических данных.
Если вы подозреваете вредоносную активность, основываясь на логике обнаружения и рекомендациях, приведенных в этом документе, обратитесь в Центр технической поддержки Cisco (TAC), используя ключевое слово ArcaneDoor, для дальнейшего анализа.
Сканирование
Злоумышленник продолжает сканировать объекты, представляющие интерес, с вредоносных IP-адресов, которые постоянно меняются, чтобы избежать обнаружения. Отслеживание трафика сканирования, поступающего от злоумышленника, не означает, что устройство взломано. Следуйте инструкциям в этом документе для выявления потенциально вредоносных действий, которые требуют более тщательного сбора и анализа криминалистических данных.
Также обратите внимание, что единственными подтвержденными скомпрометированными устройствами Cisco ASA являются следующие модели Cisco ASA серии 5500-X, на которых установлено программное обеспечение Cisco ASA версии 9.12 или 9.14 с включенными веб-службами VPN:
* 5512-X и 5515-X
* 5525-Х, 5545-Х и 5555-Х
* 5585-Х
Оценили 2 человека
6 кармы