- شناسه CVE-2025-20362 :CVE
- CWE-862 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 25, 2025
- به روز شده: نوامبر 5, 2025
- امتیاز: 6.5
- نوع حمله: Authorization Bypass
- اثر گذاری: Unauthenticated access
- حوزه: تجهیزات شبکه و امنیت
- برند: Cisco
- محصول: Cisco Secure ASA
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری عدم وجود مجوز (Missing Authorization) در وب سرور VPN نرمافزارهای Cisco Secure Firewall ASA و Cisco Secure FTD شناسایی شده است. این ضعف که ناشی از اعتبارسنجی ناکافی ورودیهای HTTP(S) است، به مهاجم از راه دور و بدون احراز هویت اجازه میدهد به URLهای محدود مربوط به سرویسهای دسترسی از راه دور (Remote Access VPN) دسترسی غیرمجاز پیدا کند. در صورت ترکیب این آسیب پذیری با CVE-2025-20333 (سرریز بافر)، مهاجم میتواند حملات پیشرفتهتری را پیادهسازی کند یا باعث راهاندازی مجدد و انکار سرویس (DoS / reload) شود.
توضیحات
آسیبپذیری CVE-2025-20362 از نوع عدم وجود مجوز مطابق با CWE-862، در وب سرور VPN نرمافزارهای Cisco Secure Firewall ASA و Cisco Secure FTD شناسایی شده است. این ضعف به دلیل اعتبارسنجی ناکافی ورودیهای کاربر در درخواستهای HTTP(S) است که به مهاجم از راه دور و بدون نیاز به احراز هویت اجازه میدهد درخواستهای مخرب را به آدرسهای محدود (مثلاً URLهای مدیریتی مربوط به Remote Access VPN) ارسال کند و به منابعی دسترسی یابد که باید حفاظتشده باشند.
این دسترسی میتواند با CVE-2025-20333 (سرریز بافر) زنجیره شود تا منجر به اجرای کد دلخواه (RCE) بدون احراز هویت شده و امکان کنترل کامل دستگاه فراهم گردد. پیامدهای آن شامل محرمانگی با افشای جزئی اطلاعات مانند تنظیمات VPNو تغییر جزئی یکپارچگی با تزریق دادههای مخرب است. این آسیب پذیری تأثیر مستقیمی بر در دسترسپذیری ندارد اما در مورد جدید شناسایی شده، زنجیره حمله باعث راه اندازی مجدد ناگهانی دستگاه و انکار سرویس (DoS) میشود. دستگاههایی که WebVPN را بهصورت عمومی (public‑facing) ارائه میدهند در معرض ریسک بیشتری هستند.
بهرهبرداری از این ضعف ساده و قابل خودکارسازی است؛ مهاجم میتواند با اسکریپتها یا ابزارهایی مانند curl درخواستهای HTTP مخرب ارسال کند، بدون احراز هویت به URLهای محدود دسترسی پیدا کند و در صورت زنجیرهسازی با سرریز بافر منجر به اجرای کد شود. این آسیبپذیری در فهرست KEV سازمان CISA ثبت شده و کد اثباتِ مفهومی (PoC) عمومی نیز منتشر شده است که ریسک بهرهبرداری را افزایش میدهد. شرکت سیسکو این ضعف را با انتشار بهروزرسانیهای امنیتی پَچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 9.8.1.5
affected at 9.8.1.7 affected at 9.8.2 affected at 9.8.2.8 affected at 9.8.2.14 affected at 9.8.2.15 affected at 9.8.2.17 affected at 9.8.2.20 affected at 9.8.2.24 affected at 9.8.2.26 affected at 9.8.2.28 affected at 9.8.2.33 affected at 9.8.2.35 affected at 9.8.2.38 affected at 9.8.3.8 affected at 9.8.3.11 affected at 9.8.3.14 affected at 9.8.3.16 affected at 9.8.3.18 affected at 9.8.3.21 affected at 9.8.3 affected at 9.8.3.26 affected at 9.8.3.29 affected at 9.8.4 affected at 9.8.4.3 affected at 9.8.4.7 affected at 9.8.4.8 affected at 9.8.4.10 affected at 9.8.4.12 affected at 9.8.4.15 affected at 9.8.4.17 affected at 9.8.2.45 affected at 9.8.4.25 affected at 9.8.4.20 affected at 9.8.4.22 affected at 9.8.4.26 affected at 9.8.4.29 affected at 9.8.4.32 affected at 9.8.4.33 affected at 9.8.4.34 affected at 9.8.4.35 affected at 9.8.4.39 affected at 9.8.4.40 affected at 9.8.4.41 affected at 9.8.4.43 affected at 9.8.4.44 affected at 9.8.4.45 affected at 9.8.4.46 affected at 9.8.4.48 affected at 9.12.1 affected at 9.12.1.2 affected at 9.12.1.3 affected at 9.12.2 affected at 9.12.2.4 affected at 9.12.2.5 affected at 9.12.2.9 affected at 9.12.3 affected at 9.12.3.2 affected at 9.12.3.7 affected at 9.12.4 affected at 9.12.3.12 affected at 9.12.3.9 affected at 9.12.2.1 affected at 9.12.4.2 affected at 9.12.4.4 affected at 9.12.4.7 affected at 9.12.4.10 affected at 9.12.4.13 affected at 9.12.4.8 affected at 9.12.4.18 affected at 9.12.4.24 affected at 9.12.4.26 affected at 9.12.4.29 affected at 9.12.4.30 affected at 9.12.4.35 affected at 9.12.4.37 affected at 9.12.4.38 affected at 9.12.4.39 affected at 9.12.4.40 affected at 9.12.4.41 affected at 9.12.4.47 affected at 9.12.4.48 affected at 9.12.4.50 affected at 9.12.4.52 affected at 9.12.4.54 affected at 9.12.4.55 affected at 9.12.4.56 affected at 9.12.4.58 affected at 9.12.4.62 affected at 9.12.4.65 affected at 9.12.4.67 affected at 9.14.1 affected at 9.14.1.10 affected at 9.14.1.6 affected at 9.14.1.15 affected at 9.14.1.19 affected at 9.14.1.30 affected at 9.14.2 affected at 9.14.2.4 affected at 9.14.2.8 affected at 9.14.2.13 affected at 9.14.2.15 affected at 9.14.3 affected at 9.14.3.1 affected at 9.14.3.9 affected at 9.14.3.11 affected at 9.14.3.13 affected at 9.14.3.18 affected at 9.14.3.15 affected at 9.14.4 affected at 9.14.4.6 affected at 9.14.4.7 affected at 9.14.4.12 affected at 9.14.4.13 affected at 9.14.4.14 affected at 9.14.4.15 affected at 9.14.4.17 affected at 9.14.4.22 affected at 9.14.4.23 affected at 9.14.4.24 affected at 9.16.1 affected at 9.16.1.28 affected at 9.16.2 affected at 9.16.2.3 affected at 9.16.2.7 affected at 9.16.2.11 affected at 9.16.2.13 affected at 9.16.2.14 affected at 9.16.3 affected at 9.16.3.3 affected at 9.16.3.14 affected at 9.16.3.15 affected at 9.16.3.19 affected at 9.16.3.23 affected at 9.16.4 affected at 9.16.4.9 affected at 9.16.4.14 affected at 9.16.4.18 affected at 9.16.4.19 affected at 9.16.4.27 affected at 9.16.4.38 affected at 9.16.4.39 affected at 9.16.4.42 affected at 9.16.4.48 affected at 9.16.4.55 affected at 9.16.4.57 affected at 9.16.4.61 affected at 9.16.4.62 affected at 9.16.4.67 affected at 9.16.4.70 affected at 9.16.4.71 affected at 9.16.4.76 affected at 9.16.4.82 affected at 9.16.4.84 affected at 9.17.1 affected at 9.17.1.7 affected at 9.17.1.9 affected at 9.17.1.10 affected at 9.17.1.11 affected at 9.17.1.13 affected at 9.17.1.15 affected at 9.17.1.20 affected at 9.17.1.30 affected at 9.17.1.33 affected at 9.17.1.39 affected at 9.17.1.45 affected at 9.17.1.46 affected at 9.18.1 affected at 9.18.1.3 affected at 9.18.2 affected at 9.18.2.5 affected at 9.18.2.7 affected at 9.18.2.8 affected at 9.18.3 affected at 9.18.3.39 affected at 9.18.3.46 affected at 9.18.3.53 affected at 9.18.3.55 affected at 9.18.3.56 affected at 9.18.4 affected at 9.18.4.5 affected at 9.18.4.8 affected at 9.18.4.22 affected at 9.18.4.24 affected at 9.18.4.29 affected at 9.18.4.34 affected at 9.18.4.40 affected at 9.18.4.47 affected at 9.18.4.50 affected at 9.18.4.52 affected at 9.18.4.53 affected at 9.18.4.57 affected at 9.18.4.66 affected at 9.19.1 affected at 9.19.1.5 affected at 9.19.1.9 affected at 9.19.1.12 affected at 9.19.1.18 affected at 9.19.1.22 affected at 9.19.1.24 affected at 9.19.1.27 affected at 9.19.1.28 affected at 9.19.1.31 affected at 9.19.1.37 affected at 9.19.1.38 affected at 9.19.1.42 affected at 9.20.1 affected at 9.20.1.5 affected at 9.20.2 affected at 9.20.2.10 affected at 9.20.2.21 affected at 9.20.2.22 affected at 9.20.3 affected at 9.20.3.4 affected at 9.20.3.7 affected at 9.20.3.9 affected at 9.20.3.10 affected at 9.20.3.13 affected at 9.20.3.16 affected at 9.20.3.20 affected at 9.20.4 affected at 9.20.4.7 affected at 9.22.1.1 affected at 9.22.1.3 affected at 9.22.1.2 affected at 9.22.1.6 affected at 9.22.2 affected at 9.22.2.4 affected at 9.22.2.9 affected at 9.22.2.13 affected at 9.23.1 affected at 9.23.1.3 affected at 9.23.1.7 affected at 9.23.1.13 |
Cisco Secure Firewall Adaptive Security Appliance (ASA) Software |
| affected at 6.2.3
affected at 6.2.3.1 affected at 6.2.3.2 affected at 6.2.3.3 affected at 6.2.3.4 affected at 6.2.3.5 affected at 6.2.3.6 affected at 6.2.3.7 affected at 6.2.3.8 affected at 6.2.3.10 affected at 6.2.3.11 affected at 6.2.3.9 affected at 6.2.3.12 affected at 6.2.3.13 affected at 6.2.3.14 affected at 6.2.3.15 affected at 6.2.3.16 affected at 6.2.3.17 affected at 6.2.3.18 affected at 6.6.0 affected at 6.6.0.1 affected at 6.6.1 affected at 6.6.3 affected at 6.6.4 affected at 6.6.5 affected at 6.6.5.1 affected at 6.6.5.2 affected at 6.6.7 affected at 6.6.7.1 affected at 6.6.7.2 affected at 6.4.0 affected at 6.4.0.1 affected at 6.4.0.3 affected at 6.4.0.2 affected at 6.4.0.4 affected at 6.4.0.5 affected at 6.4.0.6 affected at 6.4.0.7 affected at 6.4.0.8 affected at 6.4.0.9 affected at 6.4.0.10 affected at 6.4.0.11 affected at 6.4.0.12 affected at 6.4.0.13 affected at 6.4.0.14 affected at 6.4.0.15 affected at 6.4.0.16 affected at 6.4.0.17 affected at 6.4.0.18 affected at 7.0.0 affected at 7.0.0.1 affected at 7.0.1 affected at 7.0.1.1 affected at 7.0.2 affected at 7.0.2.1 affected at 7.0.3 affected at 7.0.4 affected at 7.0.5 affected at 7.0.6 affected at 7.0.6.1 affected at 7.0.6.2 affected at 7.0.6.3 affected at 7.0.7 affected at 7.0.8 affected at 7.1.0 affected at 7.1.0.1 affected at 7.1.0.2 affected at 7.1.0.3 affected at 7.2.0 affected at 7.2.0.1 affected at 7.2.1 affected at 7.2.2 affected at 7.2.3 affected at 7.2.4 affected at 7.2.4.1 affected at 7.2.5 affected at 7.2.5.1 affected at 7.2.6 affected at 7.2.7 affected at 7.2.5.2 affected at 7.2.8 affected at 7.2.8.1 affected at 7.2.9 affected at 7.2.10 affected at 7.3.0 affected at 7.3.1 affected at 7.3.1.1 affected at 7.3.1.2 affected at 7.4.0 affected at 7.4.1 affected at 7.4.1.1 affected at 7.4.2 affected at 7.4.2.1 affected at 7.4.2.2 affected at 7.4.2.3 affected at 7.6.0 affected at 7.6.1 affected at 7.6.2 affected at 7.7.0 affected at 7.7.10 |
Cisco Secure Firewall Threat Defense (FTD) Software |
لیست محصولات بروز شده
| Versions | Product |
| 9.12.4.72
9.14.4.28 9.16.4.85 9.18.4.67 9.20.4.10 9.22.2.14 9.23.1.19 |
Cisco Secure Firewall Adaptive Security Appliance (ASA) Software |
| 7.0.8.1
7.2.10.2 7.4.2.4 7.6.2.1 7.7.10.1 |
Cisco Secure Firewall Threat Defense (FTD) Software |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Cisco ASA و Cisco FTD را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 63,400 | site:.ir “Cisco” “ASA” | Cisco ASA |
| 39,600 | site:.ir “Cisco” “FTD” | Cisco FTD |
نتیجه گیری
اگرچه این آسیبپذیری با شدت متوسط ارزیابی شده اما قابلیت ترکیب با آسیبپذیریهای دیگر را دارد و میتواند منجر به اجرای کد از راه دور (RCE) شود. بنابراین بهعنوان یک تهدید جدی برای دستگاههای امنیتی سیسکو شناخته می شود. با توجه به انتشار پَچهای رسمی، انجام فوری اقدامات زیر ضروری است:
- بهروزرسانی فوری: در اسرع وقت دستگاههای ASA/FTD را به نسخههای پَچشده به روزرسانی کنید. از ابزار Cisco Check Tool برای تأیید نسخهها استفاده کرده و در صورت استفاده از نمونه مجازی FTD، آن را مجدداً مستقر (re‑deploy) نمایید.
- فعالسازی شناسایی تهدیدات: قابلیت «Configure Threat Detection for VPN Services» را فعال کرده تا از حملات brute‑force، درخواستهای مخرب کلاینت و اتصالات به سرویسهای نامعتبر جلوگیری شود.
- محدودسازی دسترسی به WebVPN: در صورت امکان WebVPN را غیرفعال کنید؛ در غیر این صورت دسترسی HTTPS به رابط VPN را با فایروال یا لیست کنترل دسترسی (ACL) فقط به آدرسهای IP مجاز محدود نمایید. قواعد IDS/IPS مرتبط (مثلاً Snort) را اعمال کنید.
- نظارت و تشخیص سریع: لاگهای VPN و سیستم را برای راه اندازی مجدد ناگهانی (reload)، افزایش غیرعادی درخواستها یا ترافیک HTTP(S) مشکوک نظارت کنید؛ از راهکارهایی مانند Cisco SecureX یا سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) برای هشداردهی استفاده کنید.
- ایزولهسازی: دستگاهها را پشت فایروال اپلیکیشن وب (WAF) قرار دهید، Secure Boot را فعال کنید و برای پایداری، خوشه در دسترسپذیری بالا (HA) با تست failover پیادهسازی نمایید.
- تست امنیتی: پَچها و تنظیمات را قبل از اعمال در محیط تولید در محیط آزمایشی تست کنید (اسکن با Nessus، شبیهسازی حمله با ابزارهای امن).
- آموزش تیمها: تیمهای فنی را درباره ریسکهای WebVPN، روشهای تشخیص و اهمیت بهروزرسانی آموزش دهید.
اجرای سریعِ این اقدامات بهویژه بهروزرسانیِ فوری و فعالسازیِ شناسایی تهدیدات، احتمال بهرهبرداری موفق و کنترل دستگاهها توسط مهاجم را بهطور قابل توجهی کاهش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم از طریق ارسال درخواستهای HTTP(S) بدون احراز هویت به WebVPN عمومی، مستقیم به URLهای محدود دسترسی میگیرد. چون هیچ لایه Authorization درست وجود ندارد، این نقطه ورودی بسیار کمهزینه و قابل اسکریپتسازی است.
Privilege Escalation (TA0004)
پس از دسترسی به صفحات یا APIهای محدودشده، مهاجم ممکن است به تنظیمات VPN یا اطلاعات جلسات دسترسی پیدا کند و مسیر افزایش سطح دسترسی از طریق misconfiguration یا chaining را دنبال کند.
Discovery (TA0007)
مهاجم پس از دسترسی به پنل یا APIهای مرتبط با VPN قادر به مشاهده پیکربندی، نوع تونلها، gateway profiles و topology ابتدایی دسترسیهاست. این یعنی مهاجم نقشه حداقلی از ساختار دسترسی راه دور سازمان به دست میآورد.
Collection (TA0009)
جمعآوری دادهها بیشتر حول پیکربندیها، اطلاعات کاربران و تنظیمات تونلهاست. این دادهها خیلی جذاب نیستند، ولی برای مهاجمی که دنبال ورود آرام و بیصداست، بسیار مورد علاقه است.
Exfiltration (TA0010)
خروج اطلاعات معمولاً محدود به دادههای پیکربندی و اطلاعات نشستهاست. اگر حمله زنجیره شود و مهاجم به RCE برسد، این بخش گستردهتر میشود و شامل لاگها، فایلهای کانفیگ و حتی Keyها میشود.
Defense Evasion (TA0005)
چون حمله بدون احراز هویت انجام میشود، در لاگها بشدت شبیه درخواست عادی کاربر است. اگر سازمان لاگینگ Layer 7 و Alert thresholding نداشته باشد، مهاجم بهمعنای واقعی «تمیز» وارد و خارج میشود.
Impact (TA0040)
تأثیر مستقیم این ضعف بیشتر روی محرمانگی و یکپارچگی است. افشای پیکربندی و تنظیمات VPN محرمانگی را تحت تاثیر قرار می دهد. اثر روی Availability زمانی رخ میدهد که مهاجم زنجیره را با سرریز بافر ترکیب کند و باعث reload یا DoS شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-20362
- https://www.cvedetails.com/cve/CVE-2025-20362/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20362
- https://vuldb.com/?id.325890
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-20362
- https://github.com/dataclean-saas/API—Hole
- https://nvd.nist.gov/vuln/detail/cve-2025-20362
- https://cwe.mitre.org/data/definitions/862.html
