Les cyber-autorités des États-Unis, des États-Unis avertissent les administrateurs de Cisco d’appliquer immédiatement des correctifs aux logiciels ASA et Firepower.
Une vulnérabilité critique du jour zéro dans certains pare-feu Cisco Systems doit être corrigée immédiatement, ont averti jeudi les cyber-autorités américaines et britanniques.
Ils ont déclaré que les exploits du trou font partie des attaques en cours contre ces périphériques de périmètre de réseau et d’autres.
Le National Cyber Security Center (NCSC) du Royaume-Uni a qualifié l’alerte de Cisco de «mise à jour significative» sur une campagne malveillante contre les appareils de réseau de périmètre qui ont été exposés l’année dernière et surnommée Arcaneroor. Et l’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a publié une directive d’urgence ordonnant aux départements fédéraux d’identifier, d’analyser et d’atténuer les compromis potentiels.
La nouvelle vulnérabilité, CVE-2025-20363, est causée par une mauvaise validation des entrées fournies par l’utilisateur dans les demandes HTTP, a déclaré Cisco.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des demandes HTTP fabriquées à un service Web ciblé sur un appareil affecté, après avoir obtenu des informations supplémentaires sur le système, surmontant les atténuations d’exploitation, ou les deux.
Un exploit réussi pourrait permettre à l’attaquant d’exécuter un code arbitraire comme, ce qui peut conduire au compromis complet de l’appareil.
Les appareils exécutés sont des appareils exécutant le logiciel Cisco Secy Secure Firewall Adaptive Security Appliance (ASA), le logiciel Cisco Secy Secure Firewal Menage Defence (FTD), ainsi que les appareils exécutant le logiciel Cisco IOS, iOS XE et iOS XR.
Deux scénarios
Il y a deux scénarios d’attaque:
- Un attaquant distant non authentifié qui se lance dans des appareils exécutant le logiciel Cisco ASA et FTD avec une ou plusieurs configurations vulnérables pourrait exécuter du code arbitraire;
- Un attaquant distant authentifié qui s’accumule dans les appareils exécutant Cisco IOS, iOS XE ou iOS XR avec de faibles privilèges utilisateur pourrait exécuter du code arbitraire sur un appareil Cisco affecté. Cependant, notez que les appareils exécutant iOS ou iOS XE ne sont affectés que s’ils ont la fonction VPN SSL Access à distance activée. Les appareils exécutant iOS XR ne sont affectés que s’ils fonctionnent sur les routeurs Cisco ASR 9001 avec le serveur HTTP activé.
Cisco a publié des mises à jour logicielles qui abordent cette vulnérabilité et recommande fortement que les clients passent rapidement à une version fixe du logiciel. Il n’y a pas de solution de contournement qui résout ce problème.
«Il est essentiel que les organisations prennent note des actions recommandées mises en évidence par Cisco aujourd’hui, en particulier sur la détection et la réparation», a déclaré Ollie Whitehouse, directrice de la technologie du Cyber Center britannique. «Nous encourageons fortement les défenseurs du réseau à suivre les meilleures pratiques des fournisseurs et à nous engager avec le rapport d’analyse des logiciels malveillants du NCSC pour aider à leurs enquêtes.»
ASA 5500-X a frappé avec plusieurs attaques
Les modèles de la série Cisco ASA 5500-X sont affectés, mais Whitehouse a noté que certains seront hors de soutien à partir de ce mois-ci. Lorsqu’il est possible, a-t-il dit, ces appareils doivent être remplacés ou améliorés, car les appareils obsolètes et de fin de vie présentent un risque de sécurité important pour les organisations.
«Les systèmes et les appareils doivent être migrés rapidement vers des versions modernes pour résoudre les vulnérabilités et renforcer la résilience», a-t-il déclaré.
En fait, Cisco a également déclaré jeudi qu’il avait trouvé une nouvelle activité ciblant spécifiquement la série ASA 5500-X avec deux nouvelles vulnérabilités: CVE-2025-20333, CVE-2025-20362, ainsi qu’avec CVE-2025-20363.
Dans un rapport de fond décrivant sa réponse aux attaques, la société a déclaré que lors de son analyse médico-légale de dispositifs compromis confirmés, il a constaté que parfois l’acteur de menace modifiait le firmware Rommon sur les appareils Cisco. Ce firmware agit comme un chargeur de démarrage de bas niveau et un outil de récupération qui initialise le matériel et charge le système d’exploitation principal. L’altérer permet à l’acteur de menace de maintenir la persistance à travers les redémarrages et les mises à niveau logiciels.
Cependant, Cisco a ajouté que ces modifications ont été observées uniquement sur les plates-formes de la série ASA 5500-X qui ont été publiées avant le développement de technologies d’ancrage Secure Boot and Trust. Cisco n’a pas connu de compromis réussi, d’implantation de logiciels malveillants ou de l’existence d’un mécanisme de persistance sur les plates-formes qui prennent en charge les ancres de démarrage et de confiance sécurisés.
Prenez les appareils hors ligne jusqu’à correction: analyste
Une grande attaque de sondage contre les appareils Cisco a été signalée en août, a noté Robert Beggs, responsable de la société canadienne de réponse aux incidents, DigitalDence. À l’époque, a-t-il dit, il a été suggéré que ce serait un prélude à une exploitation généralisée de la vulnérabilité. « Dans ce cas, au moins, la vulnérabilité de Cisco était attendue », a-t-il déclaré. «La détection de sondage à grande échelle des dispositifs semble être un prédicteur fiable d’une attaque suivante.»
Étant donné que les vulnérabilités à la racine de l’attaque peuvent toutes deux être exploitées à distance, les dispositifs affectés doivent être pris hors ligne jusqu’à ce que le patch soit appliqué et vérifié pour être en place, Beggs recommandé.
Il est révélateur «et quelque peu surprenant», a-t-il ajouté, que la directive CISA demande aux agences fédérales américaines de fournir des fichiers de mémoire pour l’analyse médico-légale sur un calendrier «presque immédiat» pour tous les appareils matériels Cisco ASA qui s’adressent au public.
