Cisco avertizează clienții să instaleze urgent patch-urile pentru trei vulnerabilități critice care afectează software-ul de firewall al companiei, două dintre ele fiind deja exploatate activ în atacuri. Istoria vulnerabilităților în echipamentele de rețea nu este una nouă: de la primele breșe care au modelat reputația securității cibernetice până la incidentele actuale, furnizorii mari încearcă permanent să țină pasul cu atacatorii. De data aceasta produsele Cisco atrag atenția, și, sperăm, și pe cea a administratorilor de rețea.
Primele două vulnerabilități, catalogate ca CVE-2025-20333 și CVE-2025-20362, afectează ASA (Adaptive Security Appliance) și Firewall Threat Defense (FTD). CVE-2025-20333 permite atacatorilor autentificați, conectați de la distanță, să execute cod arbitrar pe dispozitivele vulnerabile. Asta înseamnă că un cont compromis sau credențiale obținute pot fi folosite pentru a prelua controlul efectiv al echipamentului. Cea de-a doua, CVE-2025-20362, oferă acces la endpoint-uri URL restricționate fără niciun fel de autentificare, permițând atacatorilor să obțină informații sau să declanșeze funcționalități care ar trebui protejate. Cisco afirmă că echipa sa PSIRT a observat încercări de exploatare a acestor vulnerabilități și recomandă insistent trecerea la versiunile corectate.
Totodată, Cisco a publicat un patch pentru o a treia vulnerabilitate critică, CVE-2025-20363, care afectează atât software-ul de firewall, cât și Cisco IOS. Aceasta permite actorilor neautentificați să execute cod arbitrar de la distanță pe dispozitive neactualizate, astfel riscul rămâne semnificativ dacă update-urile nu sunt aplicate. În paralel, compania a lansat remedieri pentru o vulnerabilitate zero-day cu severitate ridicată în Cisco IOS și IOS XE, despre care se spune că este și ea exploatată în mediul real. În mai, Cisco avertizase déjà asupra unei vulnerabilități majore în IOS XE care afectează Wireless LAN Controllers și permite preluarea dispozitivelor de către atacatori neautentificați.
Investigațiile au beneficiat de sprijinul mai multor agenții naționale de securitate: Australian Cyber Security Centre, Canadian Centre for Cyber Security, UK National Cyber Security Centre și U.S. Cybersecurity and Infrastructure Security Agency (CISA). Mulțumirile pentru colaborare indică vizibilitate internațională și coordonare în eforturile de răspuns. Între timp, GreyNoise raportase la finalul lunii august două campanii pe scară largă care au vizat portaluri de autentificare ASA și servicii Telnet/SSH ale Cisco IOS expuse online; în acele campanii au fost observate până la 25.000 de adrese IP unice care scanează și încearcă acces. GreyNoise subliniază că astfel de activități de recunoaștere preced frecvent dezvăluirea unor vulnerabilități noi, făcând plauzibilă legătura dintre aceste scanări și exploatări.
Conform informațiilor disponibile, BleepingComputer a contactat Cisco pentru comentarii legate de activitatea malițioasă semnalată de GreyNoise, dar nu primise răspuns la momentul raportării. Indiferent de detalii, recomandarea standard rămâne: actualizați sistemele la versiunile fixate de Cisco cât mai curând, deoarece două dintre vulnerabilități sunt deja exploatate în natură. Situația subliniază din nou importanța monitorizării traficului, a gestionării corecte a credențialelor și a aplicării rapide a patch-urilor pentru echipamentele de rețea critice.
Cisco a comunicat clar că upgrade-ul la versiunile remediate este soluția pentru remediere, iar implicarea agențiilor de securitate internaționale reflectă gravitatea problemei la nivel global. Pe scurt: dacă administrezi ASA, FTD, IOS sau IOS XE, verifică planurile de actualizare și aplică patch-urile furnizate cât mai curând.
CVE-2025-20333, CVE-2025-20362 și CVE-2025-20363 apar ca referințe cheie în aceste avertismente; ele sunt asociate produselor ASA, FTD și IOS/IOS XE și servesc la identificarea exactă a componentelor ce trebuie actualizate. Datele despre campaniile de scanare de la GreyNoise (până la 25.000 de IP-uri) și implicarea agențiilor naționale (Australia, Canada, Regatul Unit, SUA) oferă o perspectivă concretă asupra riscului. Pașii concreți rămân: verificarea rapidă a versiunilor, aplicarea patch-urilor publicate de Cisco și supravegherea traficului pentru semne de comportament anormal.
Cisco joacă un rol central în infrastructura multor organizații; actualizarea echipamentelor rămâne cea mai eficientă metodă de protecție împotriva acestor vulnerabilități. Ceea ce determină o reflecție dincolo de știre este legătura dintre activitatea de recunoaștere pe internet, publicarea vulnerabilităților și viteza cu care operatorii aplică remedierile, 25.000 de IP-uri care scanează devin relevante imediat ce CVE-urile sunt publice. Simplu: dacă folosești ASA, FTD sau IOS/IOS XE, verifică versiunea și actualizează; dacă te ocupi de managementul securității în organizație, monitorizează scanările și restricționează accesul la portalurile de administrare.
Ai verificat deja versiunile Cisco din rețeaua ta și planul de aplicare a patch-urilor pentru aceste CVE-uri?
Fii primul care comentează