Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Adaptive Security Appliance (ASA) versions 9.12.x antérieures à 9.12.4.72
  • Adaptive Security Appliance (ASA) versions 9.14.x antérieures à 9.14.4.28
  • Adaptive Security Appliance (ASA) versions 9.16.x antérieures à 9.16.4.85
  • Adaptive Security Appliance (ASA) versions 9.17.x et 9.18.x antérieures à 9.18.4.67
  • Adaptive Security Appliance (ASA) versions 9.19.x et 9.20.x antérieures à 9.20.4.10
  • Adaptive Security Appliance (ASA) versions 9.22.x antérieures à 9.22.2.14
  • Adaptive Security Appliance (ASA) versions 9.23.x antérieures à 9.23.1.19
  • Firewall Threat Defense (FTD) versions 7.0.x antérieures à 7.0.8.1
  • Firewall Threat Defense (FTD) versions 7.1.x et 7.2.x antérieures à 7.2.10.2
  • Firewall Threat Defense (FTD) versions 7.3.x et 7.4.x antérieures à 7.4.2.4
  • Firewall Threat Defense (FTD) versions 7.6.x antérieures à 7.6.2.1
  • Firewall Threat Defense (FTD) versions 7.7.x antérieures à 7.7.10.1

Résumé

Le 25 septembre 2025, Cisco a publié plusieurs avis de sécurité, un billet de blogue ainsi qu'un guide de détection concernant des vulnérabilités affectant le serveur VPN Web de Adaptive Security Appliance (ASA) et Secure Firewall Threat Defense (FTD).

La vulnérabilité CVE-2025-20362 permet à un attaquant de contourner l'authentification pour accéder à des ressources protégées.
La vulnérabilité CVE-2025-20333 permet à un attaquant authentifié d'exécuter du code arbitraire à distance.

Exploitées conjointement, celles-ci permettent à un attaquant non authentifié de prendre la main sur une machine vulnérable.

Cisco indique que ces vulnérabilités sont activement exploitées.

Solutions

[Mise à jour du 26 septembre 2025]

Suite à plusieurs publications de la Cisa (dont [2]), le CERT-FR recommande d'effectuer les actions suivantes :

  • lancer la commande show checkheaps toutes les minutes pendant cinq minutes et sauvegarder les résultats sur un système tiers. Un exemple de résultat est présenté dans [1] ;
    • la valeur située dans la ligne Totale number of runs doit s'incrémenter au cours du temps. Si aucune évolution n'est constatée, cela indique une potentielle compromission ;
  • lancer la commande show tech-support detail et sauvegarder les résultats sur un système tiers ;
  • lancer la commande more /binary system:/text | grep 55534154 41554156 41575756 488bb3a0 et sauvegarder les résultats sur un système tiers ;
    • si cette commande retourne des résultats, cela indique une potentielle compromission ;
  • vérifier la quantité d'événements syslog 302013, 302014, 609002 et 71005 [1] et [2] car une diminution notable peut indiquer une potentielle compromission ;
  • à ce stade, si une compromission potentielle est détectée, envisager de déconnecter l'équipement d'Internet et signaler immédiatement l’événement auprès du CERT-FR qui vous indiquera la marche à suivre ;
  • si aucune compromission n'a été détectée jusque-là, effectuer la mise à jour de l'équipement si celle-ci est disponible ;
    • lors du processus de mise à jour, surveiller les messages affichés sur la console de l'équipement, conformément aux étapes présentées dans la section Bootloader and/or ROMMON Verification Failure de [1] ;
  • à l'issue de la mise à jour, chercher sur l'équipement la présence d'un fichier nommé firmware_update.log ;
    • en cas de présence de ce fichier, récupérer son contenu et sauvegarder les résultats sur un système tiers, cela indique une potentielle compromission , envisager alors de déconnecter l'équipement d'Internet et signaler l’événement auprès du CERT-FR qui vous indiquera la marche à suivre ;
  • effectuer une recherche de compromission et de latéralisation plus large, en utilisant les éléments suivants:
    • rechercher des connections VPN rapprochées avec des origines géographiques distantes [1] et [2] ;
    • rechercher les éléments présentés dans la section Step Two: Review Compromised Account Activityde [2] ;
    • rechercher des indicateurs de compromission en se basant sur les éléments présentés dans la section Rules and signatures de [3] ;
    • rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
      • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
      • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.
    • si vous trouvez des traces de latéralisation, contactez le CERT-FR ;
  • dans tous les cas, effectuer une rotation de l'ensemble des secrets et des éléments de configuration de l'équipement ainsi que de tous les secrets qui auraient pu transiter par cet équipement.

Si aucune mise à jour n'est disponible pour l'équipement, le CERT-FR recommande de le déconnecter d'Internet.

[Publication initiale]

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Dans l'attente de l'application des correctifs, Cisco recommande de désactiver les services VPN (IKEv2 et SSL VPN).

L'éditeur fournit également des renseignements pour tenter de détecter une compromission potentielle (cf. section Documentation).

Documentation