紧急：思科 ASA 零日漏洞遭受攻击；CISA 触发紧急缓解指令

思科敦促客户修补影响思科安全防火墙自适应安全设备 (ASA) 软件和思科安全防火墙威胁防御 (FTD) 软件的 VPN 网络服务器的两个安全漏洞，据称这两个漏洞已被广泛利用。

所涉及的零日漏洞如下：

CVE-2025-20333（CVSS 评分：9.9）- HTTP(S) 请求漏洞中存在对用户输入验证不当的情况，该漏洞可能允许经过身份验证的远程攻击者通过发送精心设计的 HTTP 请求，在受影响的设备上以 root 身份执行任意代码。
CVE-2025-20362（CVSS 评分：6.5）- HTTP(S) 请求漏洞中对用户提供的输入的验证不当，可能允许未经身份验证的远程攻击者通过发送精心设计的 HTTP 请求，在未经身份验证的情况下访问受限的 URL 端点
思科表示，已获悉有人试图利用这两个漏洞，但并未透露幕后黑手，也未透露攻击范围有多广。思科怀疑这两个漏洞被串联起来，以绕过身份验证，并在易受攻击的设备上执行恶意代码。

CIS 构建套件
它还对澳大利亚信号局、澳大利亚网络安全中心（ACSC）、加拿大网络安全中心、英国国家网络安全中心（NCSC）以及美国网络安全和基础设施安全局（CISA）对调查的支持表示感谢。

CISA 发布紧急指令 ED 25-03#
在另一份警报中，CISA表示正在发布一项紧急指令，敦促联邦机构立即识别、分析和缓解潜在的威胁。此外，这两个漏洞都已被添加到已知被利用漏洞 (KEV) 目录中，以便各机构有 24 小时的时间来采取必要的缓解措施。

该机构指出：“CISA 注意到高级威胁行为者正在针对思科自适应安全设备 (ASA) 发起攻击活动。”

此次攻击活动范围广泛，涉及利用零日漏洞在 ASA 上获取未经身份验证的远程代码执行，以及操纵只读存储器 (ROM) 以在重启和系统升级后持续存在。此活动对受害网络构成重大风险。

该机构还指出，此次活动与一个名为ArcaneDoor的威胁集群有关，该集群此前已被确认针对包括思科在内的多家供应商的边界网络设备，以传播 Line Runner 和 Line Dancer 等恶意软件家族。此次活动被归咎于名为 UAT4356（又名 Storm-1849）的威胁行为者。

CISA 补充道：“该威胁行为者已证明至少在 2024 年就能成功修改 ASA ROM。思科 ASA 平台中的这些零日漏洞也存在于思科 Firepower 的特定版本中。Firepower 设备的安全启动功能可以检测到已识别的 ROM 操作。”