خانه » CVE-2025-20333
هشدار‌های سایبری

CVE-2025-20333

Cisco ASA and FTD VPN Web Server Authenticated Remote Code Execution Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 314 بازدید
هشدار سایبری CVE-2025-20333
  • شناسه CVE-2025-20333 :CVE
  • CWE-120 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 25, 2025
  • به روز شده: نوامبر 5, 2025
  • امتیاز: 9.9
  • نوع حمله: Buffer Overflow
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: دوربین های امنیتی
  • برند: Cisco
  • محصول: Cisco Secure ASA
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در وب سرور VPN نرم‌افزارهای Cisco Secure Firewall ASA و Cisco Secure FTD ناشی از سرریزِ بافرِ کلاسیک (Classic Buffer Overflow) هنگام پردازش ورودی‌های HTTP(S) است و به یک مهاجم با اعتبار VPN معتبر اجازه می‌دهد کد دلخواه را با دسترسی root اجرا کند. این ضعف می‌تواند با آسیب‌پذیری CVE-2025-20362 از نوع عدم وجود مجوز (Missing Authorization) زنجیره شود و در نتیجه اجرای کد از راه دور (RCE) بدون نیاز به احراز هویت را ممکن سازد. در عمل این‌ وضعیت می‌تواند منجر به تسلط کامل بر دستگاه، افشای داده‌ها و اخلال گسترده در شبکه شود.

توضیحات

آسیب‌پذیری CVE-2025-20333 در نرم‌افزارهای Cisco Secure Firewall ASA و Cisco Secure FTD ناشی از سرریزِ بافرِ کلاسیک (Classic Buffer Overflow) مطابق با CWE-120 است که در وب‌سرور VPN رخ می‌دهد. این ضعف به دلیل اعتبارسنجی ناکافی ورودی‌های HTTP(S) ایجاد می‌شود؛ به‌طوری‌که مهاجم دارای اعتبار VPN معتبر (نام‌کاربری یا رمزعبور) باشد می‌تواند پیلود مخرب را در هدرها یا پارامترهای درخواست HTTP قرار دهد و باعث سرریز بافر در فرآیند وب‌سرور شود.

اجرای موفق این حمله می تواند منجر به اجرای کد دلخواه با سطح دسترسی root روی دستگاه می‌شود و کنترل کامل سیستم را در اختیار مهاجم قرار می‌دهد. این ضعف قابلیت زنجیره‌شدن با CVE-2025-20362 (دور زدن مجوزها) را دارد؛ یعنی ابتدا دور زدن احراز هویت و سپس سرریز بافر می‌تواند منجر به اجرای کد از راه دور کاملاً بدون نیاز به اعتبار شود. پیامدهای آن شامل محرمانگی با افشای کامل اطلاعات مانند تنظیمات، کلیدها، ترافیک، یکپارچگی با تغییر کامل شامل نصب بک‌دور، تغییر قوانین فایروال و در دسترس‌پذیری با اختلال کامل مانند حذف کانفیگ، راه اندازی مجدد اجباری است. بهره‌برداری به‌سادگی قابل خودکارسازی است؛ مهاجم با ابزارهایی مانند Metasploit یا اسکریپت‌های Python می‌تواند درخواست‌های HTTP مخرب ارسال کند. این آسیب‌پذیری در فهرست KEV سازمان CISA ثبت شده و اکسپلویت فعال آن تایید شده است. شرکت سیسکو این ضعف را با انتشار به‌روزرسانی‌های امنیتی پَچ کرده است.

CVSS

Score Severity Version Vector String
9.9 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected at 9.8.1

affected at 9.8.1.5

affected at 9.8.1.7

affected at 9.8.2

affected at 9.8.2.8

affected at 9.8.2.14

affected at 9.8.2.15

affected at 9.8.2.17

affected at 9.8.2.20

affected at 9.8.2.24

affected at 9.8.2.26

affected at 9.8.2.28

affected at 9.8.2.33

affected at 9.8.2.35

affected at 9.8.2.38

affected at 9.8.3.8

affected at 9.8.3.11

affected at 9.8.3.14

affected at 9.8.3.16

affected at 9.8.3.18

affected at 9.8.3.21

affected at 9.8.3

affected at 9.8.3.26

affected at 9.8.3.29

affected at 9.8.4

affected at 9.8.4.3

affected at 9.8.4.7

affected at 9.8.4.8

affected at 9.8.4.10

affected at 9.8.4.12

affected at 9.8.4.15

affected at 9.8.4.17

affected at 9.8.2.45

affected at 9.8.4.25

affected at 9.8.4.20

affected at 9.8.4.22

affected at 9.8.4.26

affected at 9.8.4.29

affected at 9.8.4.32

affected at 9.8.4.33

affected at 9.8.4.34

affected at 9.8.4.35

affected at 9.8.4.39

affected at 9.8.4.40

affected at 9.8.4.41

affected at 9.8.4.43

affected at 9.8.4.44

affected at 9.8.4.45

affected at 9.8.4.46

affected at 9.8.4.48

affected at 9.12.1

affected at 9.12.1.2

affected at 9.12.1.3

affected at 9.12.2

affected at 9.12.2.4

affected at 9.12.2.5

affected at 9.12.2.9

affected at 9.12.3

affected at 9.12.3.2

affected at 9.12.3.7

affected at 9.12.4

affected at 9.12.3.12

affected at 9.12.3.9

affected at 9.12.2.1

affected at 9.12.4.2

affected at 9.12.4.4

affected at 9.12.4.7

affected at 9.12.4.10

affected at 9.12.4.13

affected at 9.12.4.8

affected at 9.12.4.18

affected at 9.12.4.24

affected at 9.12.4.26

affected at 9.12.4.29

affected at 9.12.4.30

affected at 9.12.4.35

affected at 9.12.4.37

affected at 9.12.4.38

affected at 9.12.4.39

affected at 9.12.4.40

affected at 9.12.4.41

affected at 9.12.4.47

affected at 9.12.4.48

affected at 9.12.4.50

affected at 9.12.4.52

affected at 9.12.4.54

affected at 9.12.4.55

affected at 9.12.4.56

affected at 9.12.4.58

affected at 9.12.4.62

affected at 9.12.4.65

affected at 9.12.4.67

affected at 9.14.1

affected at 9.14.1.10

affected at 9.14.1.6

affected at 9.14.1.15

affected at 9.14.1.19

affected at 9.14.1.30

affected at 9.14.2

affected at 9.14.2.4

affected at 9.14.2.8

affected at 9.14.2.13

affected at 9.14.2.15

affected at 9.14.3

affected at 9.14.3.1

affected at 9.14.3.9

affected at 9.14.3.11

affected at 9.14.3.13

affected at 9.14.3.18

affected at 9.14.3.15

affected at 9.14.4

affected at 9.14.4.6

affected at 9.14.4.7

affected at 9.14.4.12

affected at 9.14.4.13

affected at 9.14.4.14

affected at 9.14.4.15

affected at 9.14.4.17

affected at 9.14.4.22

affected at 9.14.4.23

affected at 9.14.4.24

affected at 9.16.1

affected at 9.16.1.28

affected at 9.16.2

affected at 9.16.2.3

affected at 9.16.2.7

affected at 9.16.2.11

affected at 9.16.2.13

affected at 9.16.2.14

affected at 9.16.3

affected at 9.16.3.3

affected at 9.16.3.14

affected at 9.16.3.15

affected at 9.16.3.19

affected at 9.16.3.23

affected at 9.16.4

affected at 9.16.4.9

affected at 9.16.4.14

affected at 9.16.4.18

affected at 9.16.4.19

affected at 9.16.4.27

affected at 9.16.4.38

affected at 9.16.4.39

affected at 9.16.4.42

affected at 9.16.4.48

affected at 9.16.4.55

affected at 9.16.4.57

affected at 9.16.4.61

affected at 9.16.4.62

affected at 9.16.4.67

affected at 9.16.4.70

affected at 9.16.4.71

affected at 9.16.4.76

affected at 9.16.4.82

affected at 9.16.4.84

affected at 9.17.1

affected at 9.17.1.7

affected at 9.17.1.9

affected at 9.17.1.10

affected at 9.17.1.11

affected at 9.17.1.13

affected at 9.17.1.15

affected at 9.17.1.20

affected at 9.17.1.30

affected at 9.17.1.33

affected at 9.17.1.39

affected at 9.18.1

affected at 9.18.1.3

affected at 9.18.2

affected at 9.18.2.5

affected at 9.18.2.7

affected at 9.18.2.8

affected at 9.18.3

affected at 9.18.3.39

affected at 9.18.3.46

affected at 9.18.3.53

affected at 9.18.3.55

affected at 9.18.3.56

affected at 9.18.4

affected at 9.18.4.5

affected at 9.18.4.8

affected at 9.18.4.22

affected at 9.18.4.24

affected at 9.18.4.29

affected at 9.18.4.34

affected at 9.18.4.40

affected at 9.19.1

affected at 9.19.1.5

affected at 9.19.1.9

affected at 9.19.1.12

affected at 9.19.1.18

affected at 9.19.1.22

affected at 9.19.1.24

affected at 9.19.1.27

affected at 9.19.1.28

affected at 9.19.1.31

affected at 9.20.1

affected at 9.20.1.5

affected at 9.20.2

affected at 9.20.2.10

affected at 9.20.2.21

affected at 9.20.2.22

affected at 9.20.3

affected at 9.20.3.4

affected at 9.22.1.1

affected at 9.22.1.2

 Cisco Secure Firewall Adaptive Security Appliance (ASA) Software
affected at 6.2.3

affected at 6.2.3.1

affected at 6.2.3.2

affected at 6.2.3.3

affected at 6.2.3.4

affected at 6.2.3.5

affected at 6.2.3.6

affected at 6.2.3.7

affected at 6.2.3.8

affected at 6.2.3.10

affected at 6.2.3.11

affected at 6.2.3.9

affected at 6.2.3.12

affected at 6.2.3.13

affected at 6.2.3.14

affected at 6.2.3.15

affected at 6.2.3.16

affected at 6.2.3.17

affected at 6.2.3.18

affected at 6.6.0

affected at 6.6.0.1

affected at 6.6.1

affected at 6.6.3

affected at 6.6.4

affected at 6.6.5

affected at 6.6.5.1

affected at 6.6.5.2

affected at 6.6.7

affected at 6.6.7.1

affected at 6.6.7.2

affected at 6.4.0

affected at 6.4.0.1

affected at 6.4.0.3

affected at 6.4.0.2

affected at 6.4.0.4

affected at 6.4.0.5

affected at 6.4.0.6

affected at 6.4.0.7

affected at 6.4.0.8

affected at 6.4.0.9

affected at 6.4.0.10

affected at 6.4.0.11

affected at 6.4.0.12

affected at 6.4.0.13

affected at 6.4.0.14

affected at 6.4.0.15

affected at 6.4.0.16

affected at 6.4.0.17

affected at 6.4.0.18

affected at 7.0.0

affected at 7.0.0.1

affected at 7.0.1

affected at 7.0.1.1

affected at 7.0.2

affected at 7.0.2.1

affected at 7.0.3

affected at 7.0.4

affected at 7.0.5

affected at 7.0.6

affected at 7.0.6.1

affected at 7.0.6.2

affected at 7.0.6.3

affected at 7.0.7

affected at 7.0.8

affected at 7.1.0

affected at 7.1.0.1

affected at 7.1.0.2

affected at 7.1.0.3

affected at 7.2.0

affected at 7.2.0.1

affected at 7.2.1

affected at 7.2.2

affected at 7.2.3

affected at 7.2.4

affected at 7.2.4.1

affected at 7.2.5

affected at 7.2.5.1

affected at 7.2.6

affected at 7.2.7

affected at 7.2.5.2

affected at 7.2.8

affected at 7.2.8.1

affected at 7.3.0

affected at 7.3.1

affected at 7.3.1.1

affected at 7.3.1.2

affected at 7.4.0

affected at 7.4.1

affected at 7.4.1.1

affected at 7.4.2

affected at 7.4.2.1

affected at 7.4.2.2

affected at 7.4.2.3

affected at 7.6.0

 Cisco Secure Firewall Threat Defense (FTD) Software

لیست محصولات بروز شده

Versions Product
9.12.4.72

9.14.4.28

9.16.4.85

9.17.1.45

9.18.4.47

9.19.1.37

9.20.3.7

9.22.1.3

 Cisco Secure Firewall Adaptive Security Appliance (ASA) Software
7.0.8.1

7.2.9

7.4.2.4

 Cisco Secure Firewall Threat Defense (FTD) Software

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Cisco ASA و Cisco FTD را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
63,400 site:.ir “Cisco” “ASA” Cisco ASA
39,600 site:.ir “Cisco” “FTD” Cisco FTD

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی از نوع سرریز بافر کلاسیک در وب‌سرور VPN محصولات Cisco ASA/FTD است که به مهاجم دارای اعتبار VPN معتبر اجازه می‌دهد کد دلخواه را با دسترسی root اجرا کند و کنترل کامل دستگاه را به‌دست آورد. با توجه به شدت آسیب پذیری و امکان زنجیره شدن با CVE‑2025‑20362، انجام فوری اقدامات زیر ضروری است:

  • به‌روزرسانی فوری: در اسرع وقت دستگاه‌های ASA/FTD را به نسخه‌های پَچ‌شده توسط سیسکو به روزرسانی کنید. این کار تنها راهکار کامل برای رفع آسیب‌پذیری است.
  • محدودسازی دسترسی WebVPN: در صورت امکان WebVPN را غیرفعال کنید؛ در غیر این صورت دسترسی WebVPN/HTTPS را با فایروال یا ACL فقط به آدرس‌ها و شبکه‌های مورد نیاز محدود نمایید.
  • تقویت احراز هویت: ورود به VPN را با احراز هویت چندمرحله‌ای(MFA) محافظت کنید و در صورت هرگونه نشانه ای از نفوذ، اعتبارنامه‌ها بازنشانی کنید.
  • فعال‌سازی تشخیص تهدید: سیستم‌های IDS/IPS و قوانین مرتبط را فعال کنید و قابلیت‌های تشخیص تهدید VPN را پیکربندی نمایید.
  • لاگ‌گذاری و SIEM: لاگ‌های WebVPN و سیستم را به SIEM ارسال کنید و هشدار برای عملکردهای غیرعادی، کرش ها یا اجرای باینری‌های جدید تنظیم کنید.
  • ایزوله‌سازی و فیلترینگ: دستگاه‌ها را در شبکه مدیریتی جدا قرار دهید، از فایروال اپلیکیشن وب (WAF) یا پروکسی معکوس محافظتی استفاده کنید و مدیریت از راه دور را محدود سازید.
  • تست در محیط آزمایشی: پَچ‌ها را ابتدا در محیط آزمایشگاهی تست کنید؛ تست نفوذ کنترل‌شده برای شبیه‌سازی RCE انجام دهید.

اجرای سریع این اقدامات، به‌ویژه نصب پَچ‌ها و محدودسازی دسترسی WebVPN همراه با مانیتورینگ دقیق، ریسک اجرای کد دلخواه و کنترل کامل دستگاه‌ها را به‌طور قابل‌توجهی کاهش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
اگر CVE-2025-20362 به‌صورت موفق مورد بهره‌برداری قرار بگیرد، مهاجم می‌تواند احراز هویت را دور بزند و مستقیم به وب‌سرور VPN دسترسی بگیرد. این نقطه ورود بدون نیاز به اعتبار واقعی است و سازمان‌هایی که WebVPN فعال دارند در معرض سطوح خطر بسیار بالا هستند.

Execution (TA0002)
هسته ماجرا همینجاست. سرریز بافر در وب‌سرور VPN اجازه تزریق و اجرای مستقیم payload با سطح دسترسی root را می‌دهد.

Persistence (TA0003)
مهاجم پس از تسلط می‌تواند startup-config را تغییر دهد، VPN local users جدید بسازد، یا WebVPN customization inject کند. همچنین امکان قراردادن implant در flash memory وجود دارد که بعد ریبوت هم باقی بماند.

Defense Evasion (TA0005)
مهاجم می‌تواند log buffer را پاک کند، syslog را به مقصد دیگری فوروارد کند، یا process footprint را مکاتبه‌محور کاهش دهد. همچنین امکان بسته کردن session inspection یا تغییر policy logging به صورت stealth وجود دارد.

Credential Access (TA0006)
دستگاه شامل اطلاعات VPN users، internal TACACS/RADIUS secrets، crypto keys برای site-to-site tunnels و certificate private keys است. استخراج این‌ها مهاجم را از RCE فراتر می‌برد و او را وارد سطح long-term strategic persistence می‌کند.

Discovery (TA0007)
مهاجم می‌تواند از داخل ASA مسیرهای routing، tunnel endpoints، NAT mappings و ACLها را enumerate کند. این اطلاعات برای pivot و lateral movement در شبکه اصلی مفید است.

Lateral Movement (TA0008)
با استفاده از Trust داخل شبکه، مهاجم می‌تواند به موارد بعد از فایروال دسترسی بگیرد. این شامل مدیریت سرورها، vCenter، IPMI و هر سرویس داخلی exposed به VPN است. ASA در این مرحله تبدیل به نقطه pivot می‌شود.

Collection (TA0009)
بازیابی full packet data، session key logs و decrypt ترافیک VPN ممکن است. این یعنی مهاجم نه فقط دسترسی، بلکه visibility کامل دارد.

Exfiltration (TA0010)
مهاجم می‌تواند configها، credentials، شبکه‌ها و اطلاعات ترافیکی را به صورت HTTP(S)/TLS خارج کند.

Impact (TA0040)
کنترل کامل روی policyها یعنی مهاجم می‌تواند ترافیک را reroute کند، کل شبکه را drop کند، دسترسی بین‌سایتی را قطع کند یا مسیرهای داخلی را poisoned کند. این سطح از دستکاری زیرساختی به معنی اخلال سازمانی در مقیاس enterprise است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-20333
  2. https://www.cvedetails.com/cve/CVE-2025-20333/
  3. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20333
  5. https://vuldb.com/?id.325905
  6. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-20333
  7. https://nvd.nist.gov/vuln/detail/cve-2025-20333
  8. https://cwe.mitre.org/data/definitions/120.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.