Cisco advarer om aktiv udnyttelse af 0-dagssårbarheder i ASA-firewalls

Cisco har udsendt en sikkerhedsadvarsel om to 0-dagssårbarheder, der aktuelt udnyttes i angreb mod virksomhedens firewall-software. Sårbarhederne berører både Adaptive Security Appliance (ASA) og Firewall Threat Defense (FTD).

Det skriver Bleeping Computer.

Fjernkodekørsel og uautoriseret adgang

Den første sårbarhed EUVD-2025-31140 / CVE-2025-20333 gør det muligt for autentificerede, fjernangribere at udføre vilkårlig kode på sårbare enheder. CVSS-scoren er på 9,9. Den anden EUVD-2025-31139 / CVE-2025-20362 (CVSS 6,5) tillader uautoriseret adgang til ellers beskyttede URL-endpoints. 

Cisco oplyser, at deres Product Security Incident Response Team (PSIRT) har observeret forsøg på udnyttelse af begge sårbarheder og opfordrer kunder til at opdatere til versioner med rettelser.

Cisco har samtidig lukket en tredje kritisk sårbarhed EUVD-2025-31138 / CVE-2025-20363 i både firewall- og IOS-software, som kan udnyttes til fjernkodekørsel uden autentificering. Denne har en CVSS-score på 9,0.

Internationalt samarbejde  

Efterforskningen er sket i samarbejde med bl.a. Australian Cyber Security Centre, Canadian Centre for Cyber Security, UK National Cyber Security Centre (NCSC) og U.S. Cybersecurity and Infrastructure Security Agency (CISA).

Sikkerhedsfirmaet GreyNoise har i august observeret to større kampagner med op mod 25.000 unikke IP-adresser, der målrettet scannede ASA-loginportaler og Telnet/SSH-tjenester i Cisco IOS. Ifølge GreyNoise går denne type rekognoscering ofte forud for offentliggørelsen af nye sårbarheder.

Som vi skrev om i går, har Cisco desuden udsendt rettelser til en separat 0-dagssårbarhed i IOS og IOS XE, som også udnyttes aktivt.