{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Firewall Threat Defense (FTD) versions 7.7.x ant\u00e9rieures \u00e0 7.7.10.1","product":{"name":"Firepower Threat Defense","vendor":{"name":"Cisco","scada":false}}},{"description":"Adaptive Security Appliance (ASA) versions 9.17.x et 9.18.x ant\u00e9rieures \u00e0 9.18.4.67","product":{"name":"Adaptive Security Appliance","vendor":{"name":"Cisco","scada":false}}},{"description":"Firewall Threat Defense (FTD) versions 7.3.x et 7.4.x ant\u00e9rieures \u00e0 7.4.2.4","product":{"name":"Firepower Threat Defense","vendor":{"name":"Cisco","scada":false}}},{"description":"Firewall Threat Defense (FTD) versions 7.6.x ant\u00e9rieures \u00e0 7.6.2.1","product":{"name":"Firepower Threat Defense","vendor":{"name":"Cisco","scada":false}}},{"description":"Adaptive Security Appliance (ASA) versions 9.16.x ant\u00e9rieures \u00e0 9.16.4.85","product":{"name":"Adaptive Security Appliance","vendor":{"name":"Cisco","scada":false}}},{"description":"Adaptive Security Appliance (ASA) versions 9.19.x et 9.20.x ant\u00e9rieures \u00e0 9.20.4.10","product":{"name":"Adaptive Security Appliance","vendor":{"name":"Cisco","scada":false}}},{"description":"Adaptive Security Appliance (ASA) versions 9.12.x ant\u00e9rieures \u00e0 9.12.4.72","product":{"name":"Adaptive Security Appliance","vendor":{"name":"Cisco","scada":false}}},{"description":"Adaptive Security Appliance (ASA) versions 9.23.x ant\u00e9rieures \u00e0 9.23.1.19","product":{"name":"Adaptive Security Appliance","vendor":{"name":"Cisco","scada":false}}},{"description":"Firewall Threat Defense (FTD) versions 7.0.x ant\u00e9rieures \u00e0 7.0.8.1","product":{"name":"Firepower Threat Defense","vendor":{"name":"Cisco","scada":false}}},{"description":"Adaptive Security Appliance (ASA) versions 9.22.x ant\u00e9rieures \u00e0 9.22.2.14","product":{"name":"Adaptive Security Appliance","vendor":{"name":"Cisco","scada":false}}},{"description":"Adaptive Security Appliance (ASA) versions 9.14.x ant\u00e9rieures \u00e0 9.14.4.28","product":{"name":"Adaptive Security Appliance","vendor":{"name":"Cisco","scada":false}}},{"description":"Firewall Threat Defense (FTD) versions 7.1.x et 7.2.x ant\u00e9rieures \u00e0 7.2.10.2","product":{"name":"Firepower Threat Defense","vendor":{"name":"Cisco","scada":false}}}],"affected_systems_content":"","closed_at":"2025-12-09","content":"## Solutions\n\n**<span class=\"important-content\">[Mise \u00e0 jour du 26 septembre 2025]</span>**\n\nSuite \u00e0 plusieurs publications de la Cisa (dont [2]), le CERT-FR recommande d'effectuer les actions suivantes : \n- lancer la commande `show checkheaps` toutes les minutes pendant cinq minutes et sauvegarder les r\u00e9sultats sur un syst\u00e8me tiers. Un exemple de r\u00e9sultat est pr\u00e9sent\u00e9 dans [1] ;\n    * la valeur situ\u00e9e dans la ligne `Totale number of runs` doit s'incr\u00e9menter au cours du temps. Si aucune \u00e9volution n'est constat\u00e9e, cela indique une potentielle compromission ;\n- lancer la commande `show tech-support detail` et sauvegarder les r\u00e9sultats sur un syst\u00e8me tiers ;\n- lancer la commande `more /binary system:/text | grep 55534154 41554156 41575756 488bb3a0` et sauvegarder les r\u00e9sultats sur un syst\u00e8me tiers ;\n    * si cette commande retourne des r\u00e9sultats, cela indique une potentielle compromission ;\n- v\u00e9rifier la quantit\u00e9 d'\u00e9v\u00e9nements syslog 302013, 302014, 609002 et 71005 [1] et [2] car une diminution notable peut indiquer une potentielle compromission ;\n- **\u00e0 ce stade, si une compromission potentielle est d\u00e9tect\u00e9e, envisager de d\u00e9connecter l'\u00e9quipement d'Internet et [signaler imm\u00e9diatement l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR](https://www.cert.ssi.gouv.fr/contact/) qui vous indiquera la marche \u00e0 suivre** ;\n- si aucune compromission n'a \u00e9t\u00e9 d\u00e9tect\u00e9e jusque-l\u00e0, effectuer la mise \u00e0 jour de l'\u00e9quipement si celle-ci est disponible ;\n    * lors du processus de mise \u00e0 jour, surveiller les messages affich\u00e9s sur la console de l'\u00e9quipement, conform\u00e9ment aux \u00e9tapes pr\u00e9sent\u00e9es dans la section `Bootloader and/or ROMMON Verification Failure` de [1] ;\n- \u00e0 l'issue de la mise \u00e0 jour, chercher sur l'\u00e9quipement la pr\u00e9sence d'un fichier nomm\u00e9 `firmware_update.log` ;\n    * en cas de pr\u00e9sence de ce fichier, r\u00e9cup\u00e9rer son contenu et sauvegarder les r\u00e9sultats sur un syst\u00e8me tiers, **cela indique une potentielle compromission , envisager alors de d\u00e9connecter l'\u00e9quipement d'Internet et [signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR](https://www.cert.ssi.gouv.fr/contact/) qui vous indiquera la marche \u00e0 suivre** ;\n- effectuer une recherche de compromission et de lat\u00e9ralisation plus large, en utilisant les \u00e9l\u00e9ments suivants:\n    * rechercher des connections VPN rapproch\u00e9es avec des origines g\u00e9ographiques distantes [1] et [2] ;\n    * rechercher les \u00e9l\u00e9ments pr\u00e9sent\u00e9s dans la section `Step Two: Review Compromised Account Activity`de [2] ;\n    * rechercher des indicateurs de compromission en se basant sur les \u00e9l\u00e9ments pr\u00e9sent\u00e9s dans la section `Rules and signatures` de [3] ;\n    * rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n        * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'\u00e9quipement ;\n        * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion.\n    * si vous trouvez des traces de lat\u00e9ralisation, [contactez le CERT-FR](https://www.cert.ssi.gouv.fr/contact/) ;\n- dans tous les cas, effectuer une rotation de l'ensemble des secrets et des \u00e9l\u00e9ments de configuration de l'\u00e9quipement ainsi que de tous les secrets qui auraient pu transiter par cet \u00e9quipement.\n\nSi aucune mise \u00e0 jour n'est disponible pour l'\u00e9quipement, le CERT-FR recommande de le d\u00e9connecter d'Internet. \n\n**[Publication initiale]**\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section Documentation).\n\nDans l'attente de l'application des correctifs, Cisco recommande de d\u00e9sactiver les services VPN (IKEv2 et SSL VPN).\n\nL'\u00e9diteur fournit \u00e9galement des renseignements pour tenter de d\u00e9tecter une compromission potentielle (cf. section Documentation).\n","cves":[{"name":"CVE-2025-20333","url":"https://www.cve.org/CVERecord?id=CVE-2025-20333"},{"name":"CVE-2025-20362","url":"https://www.cve.org/CVERecord?id=CVE-2025-20362"}],"links":[{"title":"[3] Rapport d'analyse des logiciels malveillants RayInitiator et LINE VIPER du NCSC-UK","url":"https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf"},{"title":"Billet de blogue Cisco du 25 septembre 2025","url":"https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks"},{"title":"Compromission d'un \u00e9quipement de bordure r\u00e9seau - Endiguement","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/"},{"title":"[1] Guide de d\u00e9tection Cisco du 25 septembre 2025","url":"https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks"},{"title":"Compromission d'un \u00e9quipement de bordure r\u00e9seau - Qualification","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/"},{"title":"Avis CERT-FR CERTFR-2025-AVI-0819 du 25 septembre 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0819/"},{"title":"[2] Guide de la CISA relatif \u00e0 la r\u00e9alisation d'un vidage m\u00e9moire et de la recherche de compromission","url":"https://www.cisa.gov/news-events/directives/supplemental-direction-ed-25-03-core-dump-and-hunt-instructions"}],"reference":"CERTFR-2025-ALE-013","revisions":[{"description":"Version initiale","revision_date":"2025-09-25T00:00:00.000000"},{"description":"Ajout d'\u00e9l\u00e9ments pour la recherche de compromission","revision_date":"2025-09-26T00:00:00.000000"},{"description":"Clarification des recommandations.","revision_date":"2025-09-26T00:00:00.000000"},{"description":"Connaissance de codes d'exploitation publics","revision_date":"2025-10-06T00:00:00.000000"},{"description":"Mise \u00e0 jour du billet de blogue Cisco.","revision_date":"2025-11-07T00:00:00.000000"},{"description":"     Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-12-09T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"**<span class=\"important-content\">[Mise \u00e0 jour du 07 novembre 2025]</span>**\n\nLe 5 novembre 2025, Cisco a mis a jour son billet de blogue initialement publi\u00e9 le 25 septembre 2025 (cf. section Documentation). L'\u00e9diteur d\u00e9clare avoir connaissance d'une nouvelle attaque, affectant les \u00e9quipements ASA et FTD vuln\u00e9rables, qui cause un d\u00e9ni de service \u00e0 distance.\n\n**[Mise \u00e0 jour du 06 octobre 2025]**\n\nLe CERT-FR a connaissance de codes d'exploitation publics.\n\n**[Publication initiale]**\n\nLe 25 septembre 2025, Cisco a publi\u00e9 plusieurs avis de s\u00e9curit\u00e9, un billet de blogue ainsi qu'un guide de d\u00e9tection concernant des vuln\u00e9rabilit\u00e9s affectant le serveur VPN Web de Adaptive Security Appliance (ASA) et Secure Firewall Threat Defense (FTD).\n\nLa vuln\u00e9rabilit\u00e9 CVE-2025-20362 permet \u00e0 un attaquant de contourner l'authentification pour acc\u00e9der \u00e0 des ressources prot\u00e9g\u00e9es. <br />\nLa vuln\u00e9rabilit\u00e9 CVE-2025-20333 permet \u00e0 un attaquant authentifi\u00e9 d'ex\u00e9cuter du code arbitraire \u00e0 distance. <br />\n\nExploit\u00e9es conjointement, celles-ci permettent \u00e0 un attaquant non authentifi\u00e9 de prendre la main sur une machine vuln\u00e9rable.\n\nCisco indique que ces vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es.","title":"[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Cisco ASA et FTD","vendor_advisories":[{"published_at":"2025-09-25","title":"Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-asaftd-webvpn-z5xP8EUB","url":"https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB"},{"published_at":"2025-09-25","title":"Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-asaftd-webvpn-YROOTUW","url":"https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW"}]}