24-godzinne ultimatum dla firm. Cisco wykrył krytyczną lukę wykorzystywaną przez hakerów

Według danych Shadowserver blisko 50 tysięcy instancji Cisco ASA i FTD pozostaje podatnych na krytyczne błędy, które są aktywnie wykorzystywane przez zaawansowanych cyberprzestępców. Najwięcej narażonych urządzeń znajduje się w Stanach Zjednoczonych, gdzie odnotowano ponad 19 tysięcy otwartych instancji dostępnych z Internetu.

Zidentyfikowane błędy otrzymały oznaczenia CVE-2025-20333 z oceną 9,9 w skali CVSS oraz CVE-2025-20362 z oceną 6,5. Obejmują one urządzenia z rodziny Cisco Adaptive Security Appliance oraz Firepower Threat Defense. Dotyczą wersji oprogramowania ASA 9.12, 9.14, 9.16–9.20 i 9.22–9.23, a także ASA i FTD w edycjach 7.0–7.4 i 7.6–7.7.

Reakcja agencji bezpieczeństwa

Brytyjskie NCSC wraz z odpowiednikami w Kanadzie, Francji i Holandii wydały pilne ostrzeżenia dotyczące ryzyka. Amerykańska CISA zastosowała wyjątkowe środki, nakazując wszystkim federalnym agencjom wykonawczym załatanie podatnych systemów w ciągu 24 godzin. Tak krótki termin jest stosowany wyłącznie w sytuacjach o szczególnie wysokim prawdopodobieństwie ataków.

Dziedzictwo kampanii ArcaneDoor

Obecna fala ataków przypomina działania grupy odpowiedzialnej za kampanię ArcaneDoor z 2024 roku, która również wykorzystywała luki typu zero-day w produktach Cisco. Według NCSC cyberprzestępcy wdrażają złośliwe oprogramowanie RayInitiator i Line Viper. Pierwszy z nich to bootkit zapewniający trwały i niewykrywalny dostęp do urządzeń, drugi odpowiada za ładowanie kodu powłoki. Eksperci podkreślają, że technika ta stanowi rozwinięcie wcześniejszych metod ataków.

Sprzęt na granicy emerytury

Najbardziej zagrożone są zapory z serii 5500-X, które od dawna nie otrzymują aktualizacji bezpieczeństwa. Część modeli ma zostać wycofana dopiero w sierpniu 2026 roku, jednak w przypadku braku dostępnych poprawek eksperci zalecają ich natychmiastowe zastąpienie nowszymi rozwiązaniami.

Dyrektor techniczny NCSC, Ollie Whitehouse, wezwał administratorów do niezwłocznego zastosowania rekomendacji Cisco i wykorzystania dostępnych narzędzi detekcji. Podkreślił, że przestarzała technologia staje się poważnym obciążeniem dla organizacji i zwiększa ryzyko incydentów.