CVE-2025-20333

Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-09-25

Официальное описание

Cisco Secure Firewall Adaptive Security (ASA) Appliance and Secure Firewall Threat Defense (FTD) Software VPN Web Server contain a buffer overflow vulnerability that allows for remote code execution. This vulnerability could be chained with CVE-2025-20362.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-20333 представляет собой критическую ошибку переполнения буфера (Buffer Overflow) в компоненте VPN Web Server операционных систем Cisco Secure Firewall ASA и FTD.

Данная уязвимость позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольный код (RCE) на устройстве и получить полный контроль над межсетевым экраном. Ситуация усугубляется тем, что злоумышленники могут использовать эту уязвимость в цепочке (chaining) с CVE-2025-20362, что позволяет обходить механизмы защиты и значительно упрощает эксплуатацию вектора атаки на внешний периметр сети.

Как исправить

Единственным гарантированным способом устранения уязвимости является обновление программного обеспечения ASA и FTD до версий, содержащих официальный патч от Cisco.

  1. Проверьте текущую версию операционной системы на вашем устройстве.
show version
  1. Сверьте вашу версию с официальным бюллетенем безопасности Cisco и скачайте исправленный образ (image) с портала Cisco Software Central.
  2. Загрузите новый образ на устройство (пример для ASA с использованием TFTP-сервера).
copy tftp://<TFTP_IP>/<asa_fixed_image.SPA> disk0:
  1. Перейдите в режим глобальной конфигурации.
configure terminal
  1. Укажите системе загружаться с нового образа.
boot system disk0:/<asa_fixed_image.SPA>
  1. Сохраните текущую конфигурацию в память.
write memory
  1. Перезагрузите устройство для применения обновления.
reload
  1. Для устройств под управлением FTD рекомендуется выполнять процесс обновления централизованно через интерфейс Cisco Secure Firewall Management Center (FMC), загрузив патч в раздел System -> Updates.

Временные меры

Если немедленное обновление инфраструктуры невозможно, необходимо применить компенсирующие меры для минимизации поверхности атаки.

  1. Если функционал Clientless SSL VPN или AnyConnect не является критичным для бизнеса в данный момент, полностью отключите WebVPN на внешних интерфейсах.
configure terminal


webvpn


no enable outside
  1. Если VPN необходим, максимально ограничьте доступ к порталу WebVPN с помощью Control Plane ACL. Разрешите подключения только с доверенных IP-адресов (например, статических адресов филиалов).
access-list VPN_FILTER extended permit tcp host <TRUSTED_IP> any eq 443
  1. Примените созданный список доступа к внешнему интерфейсу для фильтрации трафика, идущего непосредственно к самому устройству (Control Plane).
access-group VPN_FILTER in interface outside control-plane
  1. Настройте строгий мониторинг системных логов (syslog). Обращайте особое внимание на сообщения о внезапных сбоях или перезагрузках процесса webvpn, а также на аномальные всплески трафика на порт 443/TCP внешнего интерфейса.
  2. Убедитесь, что на вышестоящих средствах защиты (IPS/IDS) активированы сигнатуры для детектирования попыток эксплуатации CVE-2025-20333 и CVE-2025-20362.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей