Source : BleepingComputer — Cisco avertit que deux vulnérabilités déjà exploitées en zero-day contre ses pare-feux ASA/FTD (CVE-2025-20362 et CVE-2025-20333) sont désormais utilisées pour provoquer des redémarrages en boucle, entraînant des dénis de service. La CISA a émis une directive d’urgence pour les agences fédérales américaines.
• Vulnérabilités et impact: les failles CVE-2025-20362 (accès non authentifié à des endpoints URL restreints) et CVE-2025-20333 (RCE après authentification) peuvent, en chaîne, donner un contrôle total des systèmes non patchés. Un nouvel artéfact d’attaque observé le 5 novembre 2025 force des redémarrages inattendus des appareils, causant un DoS.
• Portée et exposition: Shadowserver suit plus de 34 000 instances ASA/FTD exposées et vulnérables à ces CVE (en baisse depuis près de 50 000 en septembre). Les appareils affectés incluent certains Cisco ASA 5500-X avec services web VPN activés.
• Contexte menace: Cisco et la CISA lient ces activités au groupe étatique derrière la campagne ArcaneDoor (groupe UAT4356 / STORM-1849), qui avait exploité en 2023-2024 les zero-days CVE-2024-20353 et CVE-2024-20359, déployant les malwares Line Dancer (loader en mémoire) et Line Runner (backdoor).
• Correctifs et autres vulnérabilités Cisco: correctifs publiés le 25 septembre pour 20362/20333. Cisco a aussi corrigé CVE-2025-20363 (exécution de code à distance non authentifiée) sans lien direct déclaré avec ces attaques, et signalé l’exploitation de CVE-2025-20352 pour déposer un rootkit sur des hôtes Linux non protégés. Plus récemment, des mises à jour ont corrigé des failles critiques dans Cisco Contact Center (contournement d’authentification CVE-2025-20358 et exécution de commandes en root CVE-2025-20354). ✅
• Mesures officielles: la CISA a ordonné aux agences fédérales de sécuriser les pare-feux concernés sous 24 h et de déconnecter les ASA EoS de leurs réseaux.
TTPs observés:
- Chaînage d’un contournement d’authentification (CVE-2025-20362) et d’une RCE authentifiée (CVE-2025-20333)
- Ciblage d’ASA/FTD avec services web VPN activés
- DoS par redémarrages en boucle (variant du 5 nov. 2025)
- Attributions à un acteur étatique lié à ArcaneDoor (UAT4356/STORM-1849)
Type d’article : article de presse spécialisé annonçant une alerte de sécurité et des correctifs associés.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisco-actively-exploited-firewall-flaws-now-abused-for-dos-attacks/