أصدرت CISA توجيهًا جديدًا للطوارئ لأمر الوكالات الفيدرالية الأمريكية بتأمين أجهزة جدار الحماية من Cisco ضد عيوب تم استغلالها في هجمات ليوم صفر.
تم إصدار توجيهات الطوارئ 25-03 لوكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) في 25 سبتمبر وتتطلب منهم التصحيح”https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB” الهدف=”_blank” rel=”nofollow noopener”> CVE-2025-20333 و”https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW” الهدف=”_blank” rel=”nofollow noopener”> CVE-2025-20362 نقاط الضعف في برنامج Adaptive Security Appliance (ASA) ودفاع جدار الحماية (FTD).
“The campaign is widespread and involves exploiting zero-day vulnerabilities to gain unauthenticated remote code execution on ASAs, as well as manipulating read-only memory (ROM) to persist through reboot and system upgrade. This activity presents a significant risk to victim networks,” حذرت CISA اليوم.
“CISA is directing agencies to account for all Cisco ASA and Firepower devices, collect forensics and assess compromise via CISA-provided procedures and tools, disconnect end-of-support devices, and upgrade devices that will remain in service.”
تتطلب وكالة الأمن السيبرانية الأمريكية الآن من جميع وكالات FCEB تحديد جميع أجهزة Cisco ASA وأجهزة القوة النارية على شبكاتها ، وافصل الكل”https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices” الهدف=”_blank” rel=”nofollow noopener”> الأجهزة المستعرضة من الشبكة ، وتصحيح تلك التي لا تظهر أي علامات على النشاط الضار بحلول الساعة 12 مساءً بتوقيت شرق الولايات المتحدة في 26 سبتمبر.
بالإضافة إلى ذلك ، أمرت CISA أنه يجب على الوكالات فصل أجهزة ASA بشكل دائم والتي تصل إلى نهاية الدعم بحلول 30 سبتمبر من شبكاتها.
المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC)”https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf” الهدف=”_blank” rel=”nofollow noopener”> يقول يستهدف المهاجمون أجهزة سلسلة 5500-X دون تمكين التمهيد الآمن لنشر الخطوط الخبيثة لعملية استخدام الخاطف الخاطئة وبرامج المحمل الخاصة بـ GRUB BOOTKIT Dubbed “Rayinitiator” (والتي يمكن أن تنجو من إعادة التشغيل وترقيات البرامج الثابتة) “to implant malware, execute commands, and potentially exfiltrate data from compromised devices.”
الاستغلال المرتبط بحملة Arcanedoor
سيسكو”https://www.bleepingcomputer.com/news/security/cisco-warns-of-asa-firewall-zero-days-exploited-in-attacks/” الهدف=”_blank” rel=”nofollow noopener”> أصدرت تحديثات الأمان لمعالجة العيوب الأمنية في وقت سابق اليوم ، قائلاً إن CVE-2025-20333 يمكن أن يسمح للمهاجمين المصادقين بالاكتساب عن بُعد تنفيذ رمز على الأجهزة الضعيفة ، في حين أن CVE-2025-20362 يمكّن ممثلي التهديد عن بُعد من الوصول إلى نقاط نهاية عنوان URL المقيدة دون مصادقة.
عند التسلسل ، يمكن للثغرات الضعيفة تمكين المهاجمين غير المصححين من السيطرة الكاملة على الأجهزة غير المقيدة عن بُعد.
“Attackers were observed to have exploited multiple zero-day vulnerabilities and employed advanced evasion techniques such as disabling logging, intercepting CLI commands, and intentionally crashing devices to prevent diagnostic analysis,” قال سيسكو اليوم، مضيفًا أن الهجمات استهدفت أجهزة سلسلة 5500-X مع تمكين خدمات الويب VPN.
“During our forensic analysis of confirmed compromised devices, in some cases, Cisco has observed the threat actor modifying ROMMON to allow for persistence across reboots and software upgrades.”
ربطت CISA و Cisco هذه الهجمات المستمرة بـ”https://www.bleepingcomputer.com/news/security/arcanedoor-hackers-exploit-cisco-zero-days-to-breach-govt-networks/” الهدف=”_blank” rel=”nofollow noopener”> حملة Arcanedoor، التي استغل اثنين آخرين من ASA و FTD Zero Tays (“https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2″ الهدف=”_blank” rel=”nofollow noopener”> CVE-2024-20353 و”https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h” الهدف=”_blank” rel=”nofollow noopener”> CVE-2024-20359) لخرق الشبكات الحكومية في جميع أنحاء العالم منذ نوفمبر 2023.
أدركت Cisco هجمات Arcanedoor في أوائل يناير 2024 واكتشفت أدلة على أن مجموعة التهديد UAT4356 وراء الحملة (التي تم تتبعها في عام 1849 من قبل Microsoft) قد اختبرت وتطوير مآثر للومينات الصفراء منذ يوليو 2023 على الأقل.
في الهجمات ، نشر المتسللون غير معروفين من قبل”https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-dancer.pdf” الهدف=”_blank” rel=”nofollow noopener”> راقصة الخط محمل رمز الصدفة في الذاكرة و”https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-runner.pdf” الهدف=”_blank” rel=”nofollow noopener”> خط العداءالبرامج الضارة الخلفية للحفاظ على الثبات على أجهزة Cisco للخطر.
في يوم الجمعة ، قامت Cisco بتصحيح ثلث ثغرة حرجة (“https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O” rel=”nofollow noopener” الهدف=”_blank”> CVE-2025-20363) في جدار الحماية الخاص به وبرنامج Cisco IOS ، والذي يمكن أن يترك ممثلين للتهديد غير مصادفة لتنفيذ التعليمات البرمجية التعسفية عن بعد على الأجهزة غير المذهلة.
ومع ذلك ، فإن الشركة لم تربطها مباشرة بهذه الهجمات في استشارية اليوم ، قائلة إن فريق الاستجابة لحوادث أمن المنتجات”is not aware of any public announcements or malicious use of the vulnerability.”