CVE-2025-20362

Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-09-25

Официальное описание

Cisco Secure Firewall Adaptive Security (ASA) Appliance and Secure Firewall Threat Defense (FTD) Software VPN Web Server contain a missing authorization vulnerability. This vulnerability could be chained with CVE-2025-20333.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-20362 затрагивает компонент VPN Web Server в продуктах Cisco Secure Firewall Adaptive Security Appliance (ASA) и Secure Firewall Threat Defense (FTD).

Проблема заключается в отсутствии должной проверки авторизации (Missing Authorization). Это позволяет злоумышленнику обойти механизмы контроля доступа к определенным ресурсам веб-сервера VPN.

Особая критичность этой уязвимости заключается в том, что она может быть использована в цепочке (chained) с уязвимостью CVE-2025-20333. Комбинирование этих двух уязвимостей позволяет атакующему без аутентификации повысить свои привилегии и потенциально выполнить произвольный код (RCE) или полностью скомпрометировать устройство, получив доступ к внутренней сети.

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения Cisco ASA и FTD до версий, содержащих официальный патч от производителя.

  1. Проверьте текущую версию операционной системы на вашем устройстве. Для этого подключитесь к CLI устройства и выполните команду:
show version
  1. Перейдите на официальный портал Cisco Software Central.
  2. Сверьте вашу текущую версию с таблицей уязвимых релизов в официальном бюллетене Cisco (Cisco Security Advisory).
  3. Скачайте актуальную пропатченную версию прошивки для вашей ветки релизов (например, если вы используете ветку 9.16, скачайте последний Fixed Release для этой ветки).
  4. Загрузите образ на устройство и измените загрузочный параметр.
  5. Сохраните конфигурацию:
write memory
  1. Перезагрузите устройство для применения новой версии ПО:
reload
  1. После перезагрузки снова выполните проверку версии, чтобы убедиться в успешном обновлении.

Временные меры

Если немедленное обновление прошивки невозможно в связи с бизнес-процессами, необходимо применить компенсирующие меры для снижения риска эксплуатации.

  1. Отключение WebVPN на внешних интерфейсах (если не используется) Если функционал клиентского VPN (AnyConnect/Secure Client) или Clientless SSL VPN не требуется на данном интерфейсе, полностью отключите его.
configure terminal
webvpn
no enable outside
  1. Ограничение доступа с помощью Control Plane ACL Если VPN необходим, строго ограничьте список IP-адресов, которым разрешено подключаться к веб-серверу VPN (порт 443), используя списки контроля доступа для Control Plane. Замените 198.51.100.0 255.255.255.0 на вашу доверенную подсеть.
access-list VPN_RESTRICT extended permit tcp 198.51.100.0 255.255.255.0 any eq 443
access-list VPN_RESTRICT extended deny tcp any any eq 443
access-group VPN_RESTRICT in interface outside control-plane
  1. Усиленный мониторинг (Detection Engineering) Настройте пересылку логов (Syslog) в вашу SIEM-систему и создайте правила корреляции для отслеживания аномальной активности. Обращайте внимание на множественные ошибки авторизации, необычные HTTP-запросы к эндпоинтам /+CSCOE+/ или /+CSCOT+/, а также на попытки эксплуатации, связанные с CVE-2025-20333. Убедитесь, что уровень логирования позволяет фиксировать веб-запросы к VPN-порталу:
logging trap informational
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей