Selon BitSight, une vulnérabilité critique référencée CVE-2025-20333 affecte les pare-feux Cisco ASA et FTD, est activement exploitée et a déclenché une directive d’urgence (ED 25-03) de la CISA exigeant une remédiation immédiate.
🚨 La faille est une zero-day avec un score CVSS de 9.9, permettant une exécution de code à distance (RCE) authentifiée. Elle pourrait autoriser la manipulation de ROMMON (le bootloader Cisco) pour maintenir une persistance sur les équipements compromis.
🎯 Impact: l’exploitation confère un contrôle total du pare-feu, avec contournement des protections, pivot interne, déploiement de malware et exfiltration de données, menaçant l’architecture de sécurité au périmètre réseau.
🛡️ Produits concernés: Cisco ASA et Cisco FTD. Aucun contournement (workaround) n’est disponible; Cisco recommande uniquement la mise à niveau vers la version 9.23(x). La CISA a publié l’ED 25-03 imposant une remédiation immédiate aux agences fédérales.
🔍 TTPs mentionnées:
- RCE authentifiée sur ASA/FTD
- Manipulation de ROMMON pour la persistance
- Bypass de mécanismes de sécurité, pivotement latéral, déploiement de malware, exfiltration
IOC: non communiqués.
Type d’article: alerte/vulnérabilité visant à informer sur une exploitation active et à relayer la recommandation de mise à jour.
🔗 Source originale : https://www.bitsight.com/blog/cisa-advisory-cve-2025-20333-cisco-firewall-devices