Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Adaptive Security Appliance (ASA) versions 9.12.x antérieures à 9.12.4.72
- Adaptive Security Appliance (ASA) versions 9.14.x antérieures à 9.14.4.28
- Adaptive Security Appliance (ASA) versions 9.16.x antérieures à 9.16.4.85
- Adaptive Security Appliance (ASA) versions 9.17.x et 9.18.x antérieures à 9.18.4.67
- Adaptive Security Appliance (ASA) versions 9.19.x et 9.20.x antérieures à 9.20.4.10
- Adaptive Security Appliance (ASA) versions 9.22.x antérieures à 9.22.2.14
- Adaptive Security Appliance (ASA) versions 9.23.x antérieures à 9.23.1.19
- Firewall Threat Defense (FTD) versions 7.0.x antérieures à 7.0.8.1
- Firewall Threat Defense (FTD) versions 7.1.x et 7.2.x antérieures à 7.2.10.2
- Firewall Threat Defense (FTD) versions 7.3.x et 7.4.x antérieures à 7.4.2.4
- Firewall Threat Defense (FTD) versions 7.6.x antérieures à 7.6.2.1
- Firewall Threat Defense (FTD) versions 7.7.x antérieures à 7.7.10.1
Résumé
[Mise à jour du 06 octobre 2025]
Le CERT-FR a connaissance de codes d'exploitation publics.
[Publication initiale]
Le 25 septembre 2025, Cisco a publié plusieurs avis de sécurité, un billet de blogue ainsi qu'un guide de détection concernant des vulnérabilités affectant le serveur VPN Web de Adaptive Security Appliance (ASA) et Secure Firewall Threat Defense (FTD).
La vulnérabilité CVE-2025-20362 permet à un attaquant de contourner l'authentification pour accéder à des ressources protégées.
La vulnérabilité CVE-2025-20333 permet à un attaquant authentifié d'exécuter du code arbitraire à distance.
Exploitées conjointement, celles-ci permettent à un attaquant non authentifié de prendre la main sur une machine vulnérable.
Cisco indique que ces vulnérabilités sont activement exploitées.
Solutions
[Mise à jour du 26 septembre 2025]
Suite à plusieurs publications de la Cisa (dont [2]), le CERT-FR recommande d'effectuer les actions suivantes :
-
lancer la commande
show checkheapstoutes les minutes pendant cinq minutes et sauvegarder les résultats sur un système tiers. Un exemple de résultat est présenté dans [1] ;- la valeur située dans la ligne
Totale number of runsdoit s'incrémenter au cours du temps. Si aucune évolution n'est constatée, cela indique une potentielle compromission ;
- la valeur située dans la ligne
- lancer la commande
show tech-support detailet sauvegarder les résultats sur un système tiers ; -
lancer la commande
more /binary system:/text | grep 55534154 41554156 41575756 488bb3a0et sauvegarder les résultats sur un système tiers ;- si cette commande retourne des résultats, cela indique une potentielle compromission ;
- vérifier la quantité d'événements syslog 302013, 302014, 609002 et 71005 [1] et [2] car une diminution notable peut indiquer une potentielle compromission ;
- à ce stade, si une compromission potentielle est détectée, envisager de déconnecter l'équipement d'Internet et signaler immédiatement l’événement auprès du CERT-FR qui vous indiquera la marche à suivre ;
-
si aucune compromission n'a été détectée jusque-là, effectuer la mise à jour de l'équipement si celle-ci est disponible ;
- lors du processus de mise à jour, surveiller les messages affichés sur la console de l'équipement, conformément aux étapes présentées dans la section
Bootloader and/or ROMMON Verification Failurede [1] ;
- lors du processus de mise à jour, surveiller les messages affichés sur la console de l'équipement, conformément aux étapes présentées dans la section
-
à l'issue de la mise à jour, chercher sur l'équipement la présence d'un fichier nommé
firmware_update.log;- en cas de présence de ce fichier, récupérer son contenu et sauvegarder les résultats sur un système tiers, cela indique une potentielle compromission , envisager alors de déconnecter l'équipement d'Internet et signaler l’événement auprès du CERT-FR qui vous indiquera la marche à suivre ;
-
effectuer une recherche de compromission et de latéralisation plus large, en utilisant les éléments suivants:
- rechercher des connections VPN rapprochées avec des origines géographiques distantes [1] et [2] ;
- rechercher les éléments présentés dans la section
Step Two: Review Compromised Account Activityde [2] ; - rechercher des indicateurs de compromission en se basant sur les éléments présentés dans la section
Rules and signaturesde [3] ; -
rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
- en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
- puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.
- si vous trouvez des traces de latéralisation, contactez le CERT-FR ;
- dans tous les cas, effectuer une rotation de l'ensemble des secrets et des éléments de configuration de l'équipement ainsi que de tous les secrets qui auraient pu transiter par cet équipement.
Si aucune mise à jour n'est disponible pour l'équipement, le CERT-FR recommande de le déconnecter d'Internet.
[Publication initiale]
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Dans l'attente de l'application des correctifs, Cisco recommande de désactiver les services VPN (IKEv2 et SSL VPN).
L'éditeur fournit également des renseignements pour tenter de détecter une compromission potentielle (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-asaftd-webvpn-YROOTUW du 25 septembre 2025 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
- Bulletin de sécurité Cisco cisco-sa-asaftd-webvpn-z5xP8EUB du 25 septembre 2025 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
- [1] Guide de détection Cisco du 25 septembre 2025 https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
- [2] Guide de la CISA relatif à la réalisation d'un vidage mémoire et de la recherche de compromission https://www.cisa.gov/news-events/directives/supplemental-direction-ed-25-03-core-dump-and-hunt-instructions
- [3] Rapport d'analyse des logiciels malveillants RayInitiator et LINE VIPER du NCSC-UK https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
- Avis CERT-FR CERTFR-2025-AVI-0819 du 25 septembre 2025 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0819/
- Billet de blogue Cisco du 25 septembre 2025 https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
- Compromission d'un équipement de bordure réseau - Endiguement https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/
- Compromission d'un équipement de bordure réseau - Qualification https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/
- Référence CVE CVE-2025-20333 https://www.cve.org/CVERecord?id=CVE-2025-20333
- Référence CVE CVE-2025-20362 https://www.cve.org/CVERecord?id=CVE-2025-20362
