دستور CISA برای وصله فوری آسیبپذیریهای سیسکو در حملات روز-صفر
آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) یک دستور اضطراری صادر کرده و از تمامی سازمانهای فدرال خواسته است تا نقصهای امنیتی سیسکو را که در حملات روز-صفر مورد سوءاستفاده قرار گرفتهاند، برطرف کنند.
این آسیبپذیریها با شناسههای CVE-2025-20333 و CVE-2025-20362 در محصولات Adaptive Security Appliance – به اختصار ASA – و Firewall Threat Defense – FTD – مورد استفاده قرار میگیرند. مهاجمان با بهرهگیری از آنها قادر به اجرای کد از راه دور بدون احراز هویت و حتی دستکاری حافظه دستگاه برای حفظ دسترسی خود پس از راهاندازی مجدد یا ارتقا هستند.
اقدامات فوری موردنیاز
- شناسایی و بررسی تمامی دستگاههای ASA و Firepower
- جداسازی دستگاههای آلوده از شبکه
- نصب وصله امنیتی روی تمامی دستگاهها
- خارج کردن دائمی دستگاههای فاقد پشتیبانی تا تاریخ ۳۰ سپتامبر
تهدید گسترده
طبق اعلام مرکز امنیت سایبری ملی بریتانیا (NCSC)، مهاجمان بهویژه دستگاههای سری 5500-X بدون قابلیت Secure Boot را هدف قرار دادهاند تا بدافزارهایی مانند LINE VIPER و کیت بوت RayInitiator را نصب کنند؛ بدافزارهایی که حتی پس از ریبوت و ارتقای سیستم باقی میمانند.
ارتباط با کارزار ArcaneDoor
CISA و سیسکو این حملات را بخشی از کارزار ArcaneDoor دانستهاند؛ کارزاری که از سال ۲۰۲۳ تاکنون چندین نقص روز صفر دیگر در سیسکو را برای نفوذ به شبکههای دولتی جهان مورد سوءاستفاده قرار داده است.
سیسکو علاوه بر انتشار وصلههای جدید، تأیید کرده است که مهاجمان از تکنیکهایی چون غیرفعالسازی لاگها، رهگیری دستورات CLI و ایجاد کرش عمدی در دستگاهها برای پنهان کردن ردپای خود استفاده کردهاند.
یک نقص بحرانی دیگر
همچنین سیسکو اخیراً یک آسیبپذیری بحرانی دیگر با شناسه CVE-2025-20363 را در فایروال و نرمافزار IOS خود رفع کرده است. اگرچه این مورد هنوز با حملات اخیر مرتبط شناخته نشده، اما میتواند به مهاجمان اجازه اجرای کد از راه دور بدهد.
هشدار مرکز CISA از طریق لینک زیر قابلدریافت است: