- 21,899
- 46
- 8 Ноя 2022
2 новых критических уязвимости не добавляют оптимизма. Но патчи уже есть.
Cisco предупредила клиентов о новой волне атак на свои межсетевые экраны : злоумышленники уже не менее 6 месяцев бьют по уязвимым устройствам, а в начале ноября появился ещё один вариант эксплуатации критических брешей. По данным четвергового бюллетеня, 5 ноября 2025 года компания зафиксировала свежую технику против систем с Cisco Secure ASA Software и Cisco Secure FTD Software, затрагиваемых уязвимостями CVE-2025-20333 и CVE-2025-20362. На не обновлённых платформах она приводит к циклическим перезагрузкам и, как следствие, к отказу в обслуживании.
Обе ошибки были закрыты в сентябре, после чего Национальный центр кибербезопасности Великобритании и американское агентство CISA публично предупредили о фактической эксплуатации «продвинутым» противником ; среди пострадавших фигурировало как минимум одно ведомство США. Ещё в мае Cisco подключила к расследованию несколько государственных структур, оказывающих помощь пострадавшим организациям: в ходе изучения выяснилось, что злоумышленники развертывали вредоносные компоненты , выполняли произвольные команды и, вероятно, извлекали информацию с скомпрометированных узлов. Для этой работы производитель сформировал отдельную полноценную команду и взаимодействовал с ограниченным кругом клиентов, чьи сети подверглись вторжениям.
Исследователи отмечают, что противник комбинировал сразу несколько уязвимостей нулевого дня и пользовался приёмами скрытности: отключал журналирование, перехватывал ввод в консоли CLI и намеренно «ронял» оборудование, чтобы затруднить диагностику. В ряде случаев модифицировался загрузчик ROM Monitor (ROMmon), что обеспечивало закрепление даже после перезапусков и обновлений программной части.
Cisco вместе с профильными ведомствами США и Великобритании увязывает прежние эпизоды и «новый вариант» с группой, стоящей за операцией ArcaneDoor. О ней стало известно в апреле 2024 года, когда производитель устранил 2 нулевых дня в ASA и FTD, уже использовавшиеся для проникновения в инфраструктуру государственных учреждений и телеком-операторов; ту активность компания обозначила индексом UAT4356. При этом с 2024 года Cisco принципиально не связывает эту кампанию с конкретным государством и на запросы об атрибуции отвечает ссылками на собственные уведомления.
Параллельно в четверг опубликованы патчи для 2 критических проблем в Cisco Unified Contact Center Express. Ошибки CVE-2025-20354 и CVE-2025-20358 позволяют удалённому неаутентифицированному нарушителю загрузить произвольные файлы, выполнить команды с правами root либо обойти проверку подлинности и запустить сценарии от имени внутреннего непривилегированного пользователя. Уязвимы инсталляции UCCX вне зависимости от конкретной конфигурации; рекомендованы выпуски 12.5 SU3 ES07 и 15.0 ES01.
CVE-2025-20354 получила оценку 9.8 по шкале CVSS и связана с некорректными механизмами проверки в процессе Java RMI. Эксплуатация возможна путём загрузки специально подготовленного файла через этот канал, что даёт возможность исполнить произвольные команды в базовой операционной системе и повысить привилегии до уровня суперпользователя. CVE-2025-20358 — обход аутентификации между редактором сценариев CCX Editor и сервером Unified CCX (оценка 9.4). Атакующий может перенаправить поток проверки на подконтрольный узел, «убедив» клиентский инструмент в успешном входе, а затем запустить произвольные скрипты в среде ОС от имени внутренней учётной записи без прав администратора.
О признаках реальных атак на указанные дефекты в UCCX производителю пока не известно, однако пользователям предлагается безотлагательно установить исправления. С учётом устойчивой активности вокруг ASA/FTD и появления «нового варианта» эксплуатации, откладывать обновления и проверку конфигураций крайне рискованно.
Cisco предупредила клиентов о новой волне атак на свои межсетевые экраны : злоумышленники уже не менее 6 месяцев бьют по уязвимым устройствам, а в начале ноября появился ещё один вариант эксплуатации критических брешей. По данным четвергового бюллетеня, 5 ноября 2025 года компания зафиксировала свежую технику против систем с Cisco Secure ASA Software и Cisco Secure FTD Software, затрагиваемых уязвимостями CVE-2025-20333 и CVE-2025-20362. На не обновлённых платформах она приводит к циклическим перезагрузкам и, как следствие, к отказу в обслуживании.
Обе ошибки были закрыты в сентябре, после чего Национальный центр кибербезопасности Великобритании и американское агентство CISA публично предупредили о фактической эксплуатации «продвинутым» противником ; среди пострадавших фигурировало как минимум одно ведомство США. Ещё в мае Cisco подключила к расследованию несколько государственных структур, оказывающих помощь пострадавшим организациям: в ходе изучения выяснилось, что злоумышленники развертывали вредоносные компоненты , выполняли произвольные команды и, вероятно, извлекали информацию с скомпрометированных узлов. Для этой работы производитель сформировал отдельную полноценную команду и взаимодействовал с ограниченным кругом клиентов, чьи сети подверглись вторжениям.
Исследователи отмечают, что противник комбинировал сразу несколько уязвимостей нулевого дня и пользовался приёмами скрытности: отключал журналирование, перехватывал ввод в консоли CLI и намеренно «ронял» оборудование, чтобы затруднить диагностику. В ряде случаев модифицировался загрузчик ROM Monitor (ROMmon), что обеспечивало закрепление даже после перезапусков и обновлений программной части.
Cisco вместе с профильными ведомствами США и Великобритании увязывает прежние эпизоды и «новый вариант» с группой, стоящей за операцией ArcaneDoor. О ней стало известно в апреле 2024 года, когда производитель устранил 2 нулевых дня в ASA и FTD, уже использовавшиеся для проникновения в инфраструктуру государственных учреждений и телеком-операторов; ту активность компания обозначила индексом UAT4356. При этом с 2024 года Cisco принципиально не связывает эту кампанию с конкретным государством и на запросы об атрибуции отвечает ссылками на собственные уведомления.
Параллельно в четверг опубликованы патчи для 2 критических проблем в Cisco Unified Contact Center Express. Ошибки CVE-2025-20354 и CVE-2025-20358 позволяют удалённому неаутентифицированному нарушителю загрузить произвольные файлы, выполнить команды с правами root либо обойти проверку подлинности и запустить сценарии от имени внутреннего непривилегированного пользователя. Уязвимы инсталляции UCCX вне зависимости от конкретной конфигурации; рекомендованы выпуски 12.5 SU3 ES07 и 15.0 ES01.
CVE-2025-20354 получила оценку 9.8 по шкале CVSS и связана с некорректными механизмами проверки в процессе Java RMI. Эксплуатация возможна путём загрузки специально подготовленного файла через этот канал, что даёт возможность исполнить произвольные команды в базовой операционной системе и повысить привилегии до уровня суперпользователя. CVE-2025-20358 — обход аутентификации между редактором сценариев CCX Editor и сервером Unified CCX (оценка 9.4). Атакующий может перенаправить поток проверки на подконтрольный узел, «убедив» клиентский инструмент в успешном входе, а затем запустить произвольные скрипты в среде ОС от имени внутренней учётной записи без прав администратора.
О признаках реальных атак на указанные дефекты в UCCX производителю пока не известно, однако пользователям предлагается безотлагательно установить исправления. С учётом устойчивой активности вокруг ASA/FTD и появления «нового варианта» эксплуатации, откладывать обновления и проверку конфигураций крайне рискованно.
- Источник новости
- www.securitylab.ru
