CISA издава спешна директива за уязвимости в Cisco firewall устройства

На 25 септември 2025 г. американската агенция за киберсигурност (CISA) издаде Emergency Directive 25-03, след като хакери започнаха да експлоатират zero-day уязвимости в Cisco ASA 5500-X firewalls. На федералните граждански агенции е наредено да идентифицират засегнатите устройства, да съберат форензични данни, да приложат пачове и да ограничат компрометираните системи.

Факти

• Директивата обхваща Cisco Adaptive Security Appliance (ASA) и Firepower устройства с активирани web услуги.

• CISA добави CVE-2025-20333 и CVE-2025-20362 към Known Exploited Vulnerabilities Catalog.

• Агенциите имат строги срокове: до края на 26 септември трябва да изпратят форензични снимки на паметта, да изключат устройства без поддръжка и да обновят поддържаните.

• Cisco потвърждава, че атаките са свързани с кампанията „ArcaneDoor“ и призовава клиентите да следват стъпките за смекчаване на риска.

Значение за бизнеса

• Firewall устройствата на ръба на мрежата са ключови вектори за атака — компромиси там позволяват странично движение, манипулация на трафика и постоянство.

• Много организации — публични или частни — използват Cisco firewalls в ядро или периметър — тези с по-стари устройства без поддръжка са особено уязвими.

• Бърза реакция, пачване, сегментация и готовност за инциденти вече са неизменни практики в сигурността, особено при zero-day атаки.

Коментар на DIAMATIX

Тази директива напомня, че дори утвърдени security устройства могат да се превърнат в слабост, ако не са актуализирани или наблюдавани. В DIAMATIX залагаме на модел „отбрана в дълбочина“: навременно управление на пачове, детекция на аномалии, резервни архитектури и постоянен контрол върху доставчиците. Само с хардуер на периметъра вече не е достатъчно — архитектурата трябва да предвижда компромис.

Update – 27 септември 2025 г.

Cisco потвърди, че експлоатираните уязвимости (CVE-2025-20333 и CVE-2025-20362) са част от координирана шпионска кампания, наречена ArcaneDoor.
В отговор, американската агенция CISA издаде Emergency Directive 25-03, която задължава всички федерални агенции до 26 септември 2025 г.:

• да изключат неподдържани устройства,

• да приложат наличните пачове за засегнатите платформи,

• да съберат и предадат форензик данни за анализ.

Ключов извод: Уязвимости във фърмуера на гранични устройства вече се използват в реални атаки от държавно-спонсорирани актьори. Организациите трябва незабавно да приложат актуализациите и да извършат проверка на логовете за потенциална компрометация.

Trusted · Innovative · Vigilant.

Източници

• CISA – Emergency Directive 25-03: Cisco устройства

• Reuters – САЩ алармираха за атаки срещу Cisco устройства