Selon BleepingComputer, environ 48 800 équipements Cisco Adaptive Security Appliance (ASA) et Firewall Threat Defense (FTD) exposés sur le web public sont vulnérables à deux vulnérabilités actuellement exploitées activement par des attaquants.
Près de 50 000 appliances Cisco ASA et FTD exposées sur Internet sont vulnérables à deux failles majeures exploitées activement : CVE-2025-20333 (dépassement de tampon permettant une exécution de code à distance après authentification) et CVE-2025-20362 (contournement d’authentification, accès non autorisé à des endpoints VPN). L’exploitation combinée de ces failles autorise une prise de contrôle complète de l’équipement sans authentification préalable, mettant en danger la confidentialité, l’intégrité et la disponibilité des systèmes protégés.
Les attaques observées depuis la fin août 2025 se caractérisent par une campagne sophistiquée, attribuée à des groupes étatiques, utilisant la chaîne CVE-2025-20362 (bypass authentification) + CVE-2025-20333 (exécution de code) pour déposer des implants tels que les malwares Line Viper et RayInitiator, dotés de mécanismes de persistance avancés qui résistent à un redémarrage ou une mise à jour des systèmes. Les attaques visent principalement l’espionnage et l’exfiltration de configurations réseau, sans mouvements latéraux détectés à ce jour.
Face à la gravité des risques, la CISA a ordonné le 25 septembre 2025 l’identification et la correction immédiate de tous les dispositifs compromis, imposant un délai de 24 heures aux agences fédérales. L’agence a également demandé de déconnecter tous les modèles en fin de support, qui ne peuvent être corrigés, des réseaux officiels.
Aucune solution de contournement n’est disponible : la seule mesure efficace est l’application immédiate des correctifs officiels Cisco. Il est également recommandé de limiter l’exposition des interfaces VPN au web, d’accroître le monitoring des accès VPN et des requêtes HTTP/S suspectes, et de surveiller les signes de compromission dans les journaux. L’article souligne que la surface d’attaque concerne des équipements de sécurité réseau critiques accessibles depuis Internet, ce qui accroît le risque d’exploitation à grande échelle. 🚨
Type d’article et objectif : alerte de sécurité visant à informer sur l’ampleur de l’exposition et l’exploitation en cours de ces vulnérabilités.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/nearly-50-000-cisco-firewalls-vulnerable-to-actively-exploited-flaws/