Téměř 50 000 firewallů Cisco ASA a FTD je zranitelných – aktivně zneužívané chyby umožňují vzdálený útok bez přihlášení

Cisco varuje před dvěma kritickými zranitelnostmi v zařízeních ASA (Adaptive Security Appliance) a FTD (Firepower Threat Defense), které útočníci již aktivně zneužívají. Odhadem 50 000 veřejně přístupných zařízení na internetu zůstává neopraveno – a riziko narušení je extrémně vysoké.

Kritické zranitelnosti – CVE-2025-20333 a CVE-2025-20362 – umožňují vzdálené spuštění libovolného kódu (RCE) a neautorizovaný přístup k citlivým URL endpointům, včetně těch spojených s VPN přístupy.

Zneužití je možné bez jakékoli autentizace, což činí z těchto chyb zásadní bezpečnostní riziko.

Cisco potvrdilo, že útoky začaly ještě před zveřejněním opravných záplat – klasický případ zero-day exploitu. Prozatím neexistují žádné oficiální workaroundy, pouze dočasná mitigace formou omezení dostupnosti webového VPN rozhraní a zvýšeného logování podezřelých přístupů a HTTP požadavků.

Podle dat z 29. září od nadace Shadowserver je v tuto chvíli 48 800 zařízení Cisco ASA a FTD přístupných z internetu, z toho více než 19 200 v USA, další tisíce v UK, Japonsku, Německu, Rusku, Kanadě a Dánsku.

Pomalá reakce správců IT je alarmující, zvláště v prostředí, kde jsou tyto zařízení kritickým bodem sítě.

Americká CISA vydala mimořádnou směrnici, která přikazuje všem federálním agenturám do 24 hodin detekovat ohrožená zařízení, a okamžitě aktualizovat nebo odstavit všechna zařízení, která dosáhla konce životního cyklu (EoS).

Britská NCSC potvrdila, že útočníci do napadených zařízení nasazují malware typu shellcode loader s názvem Line Viper, následovaný GRUB bootkitem RayInitiator, který dokáže přetrvávat restart zařízení a obejít bezpečnostní mechanismy na nižší úrovni systému.

Správci sítí a bezpečnostní týmy by měli okamžitě prověřit, zda jejich infrastruktura obsahuje Cisco ASA nebo FTD – především ty s veřejně dostupným VPN rozhraním. Následně aplikovat záplaty pro CVE-2025-20333 a CVE-2025-20362 podle oficiálních pokynů Cisco a zkontrolovat logy VPN přihlášení a HTTP požadavků na známky neautorizovaného přístupu. V krajním případě by měli zvážit odpojení zařízení z provozu, pokud nejsou podporována nebo je nelze bezprostředně aktualizovat.

Aktivní exploitace, zero-day charakter, zneužitelná bez přihlášení a rozsáhlé nasazení těchto zařízení ve veřejné i soukromé sféře činí z této situace jeden z nejvážnějších bezpečnostních témat podzimu 2025.

Zdroj: cybersecuritydive.com

Zdroj ilustračního obrázku: Moritz Erken on Unsplash