🔍 Contexte

Cet article est publié le 11 mai 2026 par CrowdSec sur sa plateforme VulnTracking. Il documente l’exploitation active et persistante de CVE-2025-20362, une vulnérabilité de contournement d’authentification affectant les équipements Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD).

🛠️ Description technique de la vulnérabilité

CVE-2025-20362 résulte d’une validation incorrecte des entrées utilisateur dans les requêtes HTTP(S) traitées par le serveur web VPN. Elle permet à un attaquant distant non authentifié d’accéder à des endpoints VPN restreints sans credentials valides.

  • Vecteur d’attaque : requêtes HTTP(S) forgées ciblant le chemin WebVPN
  • Impact : accès non authentifié à un endpoint de gestion de fichiers restreint
  • CVSS : 6.5 (score standalone)
  • Configurations vulnérables : ASA/FTD avec SSL VPN, Mobile User Security ou AnyConnect IKEv2 activés
  • Divulgation Cisco : 25 septembre 2025
  • Première détection CrowdSec : 27 octobre 2025

📊 Données de télémétrie CrowdSec

  • 292 IPs attaquantes identifiées au total
  • 2 330 signaux observés sur une fenêtre de 89 jours
  • Pic : 142 signaux en une seule journée, jusqu’à 26 sources distinctes par jour
  • Origines attaquantes : Pays-Bas, Irlande, États-Unis
  • Secteurs ciblés : commerce, environnements SOHO (small office/home office)

🎯 Contexte de menace

Selon CrowdSec et Rapid7, la vulnérabilité est utilisée dans des chaînes d’exploitation permettant de progresser d’un accès internet vers une compromission plus profonde des équipements. Les objectifs identifiés incluent :

  • Prise de contrôle d’infrastructure
  • Ransomware
  • Exfiltration de données

📰 Type d’article

Il s’agit d’une analyse de menace publiée par CrowdSec, dont le but principal est de documenter l’exploitation active de CVE-2025-20362 à partir de données télémétriques propriétaires et d’alerter les défenseurs sur la persistance de cette activité.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)

IOC

  • CVEs : CVE-2025-20362NVD · CIRCL

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ crowdsec.net — source non référencée (0pts)
  • ✅ 4985 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.crowdsec.net/vulntracking-report/cve-2025-20362-cisco-asa-vpn-authentication-bypass?