Selon Horizon3.ai, plusieurs vulnérabilités critiques affectant les composants WebVPN de Cisco ASA et FTD sont exploitées activement par l’acteur UAT4356, dit ArcaneDoor, ce qui a conduit la CISA à publier l’Emergency Directive 25-03. Les versions concernées sont Cisco ASA 9.16–9.23 et Cisco FTD 7.0–7.7.

🚨 Vulnérabilités et impact

  • CVE-2025-20362 (bypass d’authentification) permet, via des requêtes HTTP(S) forgées, d’atteindre des endpoints WebVPN restreints.
  • Chaînée avec CVE-2025-20333, cette faille conduit à une exécution de code à distance (RCE) en root, sans authentification, via des requêtes HTTPS malveillantes.
  • CVE-2025-20363 constitue une RCE distincte affectant ASA/FTD sans authentification et certains composants Cisco IOS avec authentification.

🎯 Menace et attribution

  • La CISA attribue l’exploitation à UAT4356 (ArcaneDoor), un acteur étatique, et a émis l’Emergency Directive 25-03.
  • L’actualité souligne que l’exploitation est active, et qu’un correctif immédiat est requis pour les versions listées.

🧩 Périmètre et versions affectées

  • Produits: Cisco ASA (WebVPN), FTD, et certains Cisco IOS (pour CVE-2025-20363 avec authentification).
  • Versions ASA: 9.16 à 9.23.
  • Versions FTD: 7.0 à 7.7.

🛠️ Validation

  • Horizon3.ai mentionne que NodeZero Rapid Response permet des tests de pré/post-patch pour vérifier l’exploitabilité et confirmer la remédiation.

Type d’article: alerte de sécurité. Objet principal: informer sur des exploits actifs de vulnérabilités critiques touchant Cisco ASA/FTD, les CVE impliquées, les versions affectées et le contexte d’attribution/direction CISA.

IOCs: Aucun indicateur d’attaque (IOC) n’est fourni dans l’extrait.

TTPs observés/suspectés:

  • Bypass d’authentification sur WebVPN (requêtes HTTP(S) forgées)
  • Chaining de vulnérabilités menant à RCE en root (CVE-2025-20362 + CVE-2025-20333)
  • RCE non authentifiée via CVE-2025-20363 (ASA/FTD) et RCE authentifiée (certains IOS)
  • Ciblage des services WebVPN exposés
  • Attribution à un acteur étatique (UAT4356/ArcaneDoor)

🔗 Source originale : https://horizon3.ai/attack-research/vulnerabilities/cve-2025-20362-cve-2025-20333-cve-2025-20363/

🖴 Archive : https://web.archive.org/web/20251010172254/https://horizon3.ai/attack-research/vulnerabilities/cve-2025-20362-cve-2025-20333-cve-2025-20363/