سیسکو اعلام کرده است یک نوع حمله جدید، دستگاههایی را که از Cisco Secure Firewall ASA و Cisco Secure Firewall FTD استفاده میکنند و پچ نشدهاند، هدف قرار میدهد. این حمله با بهرهگیری از دو آسیبپذیری زیر انجام میشود:
CVE-2025-20333 → اجرای کُد بهصورت root از طریق درخواستهای مخرب HTTP
CVE-2025-20362 → دسترسی به URLهای محدود بدون نیاز به احراز هویت
🔻 نتیجه سوءاستفاده:
کرش کردن فایروال و Reload اجباری دستگاه
ایجاد شرایط Denial-of-Service (DoS)
در حملات اخیر از بدافزارهایی مانند RayInitiator و LINE VIPER نیز استفاده شده (طبق گزارش NCSC انگلستان)
🚨 آسیبپذیریهای حیاتی دیگر سیسکو
سیسکو دو نقص بحرانی هم در Unified Contact Center Express (Unified CCX) پچ کرده است که امکان:
اجرای فرمان از راه دور
آپلود فایل دلخواه
بایپس احراز هویت
ارتقای دسترسی تا سطح root
را برای مهاجم غیرمجاز فراهم میکنند.
| CVE | شدت | توضیح |
|---|---|---|
| CVE-2025-20354 (9.8) | بحرانی | اجرای فرمان و آپلود فایل از طریق نقص در Java RMI |
| CVE-2025-20358 (9.4) | بحرانی | بایپس احراز هویت در CCX Editor، ساخت و اجرای اسکریپت مخرب |
✅ نسخههای پچ شده:
12.5 SU3 → 12.5 SU3 ES07
15.0 → 15.0 ES01
🟡 یک بحران دیگر: DoS در ISE
CVE-2025-20343 (8.6)
امکان کرش و ریست Cisco ISE با ارسال درخواستهای خاص RADIUS
(فعلاً بدون شواهد Exploit فعال در Wild)
📌 جمعبندی سریع
| تهدید | نتیجه |
|---|---|
| اجرای کُد از راه دور | ✅ ممکن |
| دسترسی بدون احراز هویت | ✅ ممکن |
| DoS / کرش فایروال | ✅ در حملات مشاهده شده |
| بدافزار در حمله | ✅ RayInitiator / LINE VIPER |
| Exploit فعال | ✅ برای CVE-2025-20333 / 20362 |
| پچ موجود | ✅ منتشر شده |
🧠 توصیههای امنیتی
🔹 پچ فوری ASA، FTD، CCX و ISE
🔹 محدود کردن دسترسی مدیریتی به اینترنت
🔹 فعالسازی IPS/IDS با قوانین Cisco Threat Signatures
🔹 مانیتور ریلودهای غیرعادی فایروال و درخواستهای مشکوک HTTP
🔹 بررسی لاگها برای اجرای دستورات یا دسترسیهای غیرمجاز
