Aproape 50.000 de dispozitive firewall Cisco cu vulnerabilități recent dezvăluite sunt conectate la internet, conform datelor recente. Statisticile Fundației Shadowserver ilustrează amploarea expunerii mondiale la cele trei vulnerabilități ale dispozitivelor Adaptive Security Appliance (ASA) și Firepower Threat Defense (FTD) ale Cisco, care au primit o directivă rară de remediere de urgență din partea Agenției pentru Securitate Cibernetică și Infrastructură (CISA) după dezvăluirea din 25 septembrie, potrivit BleepingComputer.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Statele Unite au de departe cele mai multe dispozitive la care nu au fost aplicate patch-urile pentru a bloca exploatarea defectelor, Shadowserver înregistrând peste 19.000 de dispozitive vulnerabile în SUA. Marea Britanie se află pe locul al doilea, cu peste 2.700 de dispozitive vulnerabile, urmată de Japonia, Germania și Rusia. Alte țări europene au mai puțin de 1.000 de dispozitive vulnerabile fiecare. România are 306.
Vulnerabilitățile, identificate ca CVE-2025-20333 și CVE-2025-20362, permit executarea de cod arbitrar și accesul la puncte finale URL restricționate asociate cu accesul VPN. Ambele probleme de securitate pot fi exploatate de la distanță fără autentificare.
Pe 25 septembrie, Cisco a avertizat că problemele au fost exploatate în mod activ în atacuri care au început înainte ca patch-urile să fie disponibile pentru clienți.
Nu există soluții pentru niciuna dintre vulnerabilități, dar măsurile temporare de consolidare ar putea include restricționarea expunerii interfeței web VPN și creșterea înregistrării și monitorizării pentru conectări VPN suspecte și cereri HTTP create special.
Serviciul de monitorizare a amenințărilor cibernetice The Shadowserver Foundation raportează că scanările sale au descoperit peste 48.800 de instanțe ASA și FTD expuse pe internet, care sunt încă vulnerabile la CVE-2025-20333 și CVE-2025-20362.
Aceste cifre sunt valabile începând de ieri, 29 septembrie, indicând o lipsă de răspuns adecvat la activitatea de exploatare în curs, precum și la avertismentele anterioare.
În mod deosebit, Greynoise a avertizat pe 4 septembrie despre scanări suspecte care au avut loc încă de la sfârșitul lunii august, vizând dispozitivele Cisco ASA. În 80% din cazuri, aceste scanări sunt un indiciu al unor defecte nedocumentate care vor apărea în produsele vizate (zero day).
Riscurile asociate celor două vulnerabilități sunt atât de grave încât Agenția pentru Securitate Cibernetică și Infrastructură (CISA) din SUA a emis o directivă de urgență care a acordat 24 de ore tuturor agențiilor din cadrul Executivului Civil Federal (FCEB) pentru a identifica orice instanțe Cisco ASA și FTD compromise din rețea și pentru a le actualiza pe cele care vor rămâne în funcțiune.
CISA a recomandat, de asemenea, ca dispozitivele ASA care ajung la sfârșitul perioadei de asistență (EoS) să fie deconectate de la rețelele organizațiilor federale până la sfârșitul lunii Septembrie.
Agențiile naționale de securitate, precum NCSC din Marea Britanie și omoloagele sale din Canada, Franța și Țările de Jos, au emis fiecare în parte avertismente separate cu privire la amenințarea pe care vulnerabilitățile o reprezintă pentru organizații.
Un raport al Centrului Național de Securitate Cibernetică (NCSC) din Marea Britanie a oferit mai multe detalii despre atacuri, menționând că hackerii au utilizat un malware de tip shellcode loader numit „Line Viper”, urmat de un bootkit GRUB numit „RayInitiator”.
Având în vedere că exploatarea activă este în curs de desfășurare de mai bine de o săptămână, administratorii sistemelor potențial afectate sunt îndemnați să aplice cât mai curând posibil recomandările Cisco pentru CVE-2025-20333 și CVE-2025-20362.
