تحلیل و بررسی تخصصی جدیدترین آسیب‌پذیری‌های Cisco ASA/FTD و پیامدهای استراتژیک آن برای امنیت سازمان‌ها

فایروال‌ها نخستین و مهم‌ترین لایه دفاعی در برابر تهدیدات بیرونی سازمان‌ها هستند. تمام ترافیک ورودی و خروجی، از باریک‌ترین نقطه شبکه، یعنی لبه، Edge عبور می‌کند؛ جایی که کوچک‌ترین نقص می‌تواند بزرگ‌ترین نقطه شکست امنیتی باشد. در سال ۲۰۲۵، دو آسیب‌پذیری بسیار حیاتی در Cisco ASA و Cisco Secure Firewall (FTD) افشا شد که اهمیت استراتژیک حفاظت از این لایه را به نقطه اوج خود رساند. این ضعف‌ها، که تحت عنوان CVE-2025-20333 و CVE-2025-20362 شناخته می‌شوند، به مهاجمان امکان می‌دهند بدون احراز هویت به فایروال دسترسی پیدا کرده و سپس کد دلخواه خود را روی دستگاه اجرا کنند. چنین سناریویی پیش‌تر در حملات واقعی توسط گروه‌های پیشرفته و سازمان‌یافته مشاهده شده و در عمل، به تصرف کامل سامانه‌های دفاعی سازمان‌ها منجر شده است.

اهمیت این آسیب‌پذیری‌ها در این است که تنها ابزار مهاجم برای نقض امنیت، یک درخواست HTTP/HTTPS ساده است. نه نیاز به نام کاربری، نه گذرواژه، نه تعامل انسانی. این موضوع، آسیب‌پذیری مذکور را در ردیف خطرناک‌ترین رخدادهای امنیت شبکه طی یک دهه گذشته قرار می‌دهد.

ماهیت آسیب‌پذیری‌های Cisco و زنجیره نفوذ

CVE-2025-20362: ورود بدون احراز هویت

این نقص در ماژول WebVPN فایروال قرار دارد؛ سرویسی که در بسیاری از سازمان‌ها فعال است، حتی اگر از آن استفاده نکنند. در این آسیب‌پذیری، مهاجم قادر است به برخی از URLها وEndpointهای داخلی دستگاه بدون ورود دسترسی پیدا کند. این نقطه ضعف به او اجازه می‌دهد که اطلاعات ساختاری، session handlerها و برخی تنظیمات اساسی را مشاهده کرده و برای مرحله دوم حمله آماده شود.

CVE-2025-20333: اجرای کد از راه دور

آسیب‌پذیری دوم حمله را کامل می‌کند. مهاجم پس از کسب دسترسی اولیه، می‌تواند با سوءاستفاده از نقص دیگری در همین WebVPN، کد دلخواه خود را روی دستگاه اجرا کند. این یعنی در اختیارگرفتنکامل فایروال و اعمال تغییرات در پالیسی‌ها، ساخت یوزرهای مخفی، دست‌کاری ترافیک، نصب ابزارهای پایداری و حتی تغییرفایروال. در کمپین واقعی ArcaneDoor، مهاجمان پس از نفوذ، فایروال‌ها را به پایگاه شنود خود تبدیل کرده بودند؛ بدون آن‌که هیچ هشدار قابل توجهی در SIEM سازمان ثبت شود.

راهکار Cisco ACI چیست و چه مزایایی دارد

ویدیوهای بیشتر در باره cisco

چرا این تهدید، خطرناک‌ترین رخداد امنیتی سال ۲۰۲۵ محسوب می‌شود؟

نخست، این دو آسیب‌پذیری روی مرز شبکه‌های سازمانی قرار دارند؛ یعنی درست در نقطه‌ای که ارتباط سازمان با اینترنت برقرار می‌شود. در چنین نقطه‌ای هر حمله‌ای هرچند کوچک می‌تواند تأثیر گسترده‌ای داشته باشد. فایروال آلوده‌شده نه‌تنها قابل اعتماد نیست، بلکه می‌تواند به سکوی پرتاب مهاجم برای حملات داخلی تبدیل شود.

دوم، این حمله برخلاف بسیاری از حملات داخلی یا مبتنی بر کاربر، هیچ نشانه اولیه‌ای تولید نمی‌کند. مهاجم نیازی به تعامل با کاربر ندارد و بسیاری از سازمان‌ها WebVPN را فعال نگه داشته‌اند. این شرایط باعث می‌شود مهاجم به‌سادگی بتواند وارد دستگاه شود و بدون تولید هشدارهای متداول، کنترل همه‌چیز را در اختیار بگیرد.

سوم، این آسیب‌پذیری‌ها از سوی گروه‌های پیشرفته دولتی مورد بهره‌برداری قرار گرفته‌اند. این گروه‌ها معمولاً اهدافی مانند زیرساخت‌های حیاتی، بانک‌ها، شرکت‌های انرژی، وزارتخانه‌ها و دیتاسنترها را نشانه می‌گیرند. دامنه هدف‌گیری گسترده و ماهیت حملات طولانی‌مدت نشان می‌دهد که هدف مهاجمان صرفاً نفوذ نیست؛ بلکه حضور پنهان، شنود بلندمدت و اختلال بالقوه است.

ویژگی خطرناک دیگر این است که مهاجم می‌تواند ماندگار شود؛ یعنی حتی پس از پاک‌کردن لاگ‌ها، تغییر گذرواژه‌ها یا حتی راه‌اندازی مجدد دستگاه، همچنان کنترل خود را حفظ کند. در برخی نمونه‌ها مشاهده شده که مهاجم فایل‌های سیستمی را جایگزین می‌کرد تا پس از هر به‌روزرسانی یا reboot نیز همچنان فعال باقی بماند.

بیشتر بخوانید: تحلیل تخصصی آسیب‌پذیری CVE-2025-20265 در Cisco Secure FMC و تأثیر آن بر امنیت شبکه

تحلیل زنجیره حمله: از شناسایی تا کنترل کامل

حمله معمولاً با مرحله شناسایی آغاز می‌شود، جایی که مهاجم با اسکن اینترنتی دستگاه‌هایی که WebVPN فعال دارند را پیدا می‌کند. مهاجم نسخه فایروال، تنظیمات گواهی SSL و برخی الگوهای رفتاری در پاسخ‌های HTTP را تحلیل می‌کند تا احتمال آسیب‌پذیر بودن دستگاه را تعیین نماید.

پس از آن، مهاجم از CVE-2025-20362 برای دسترسی به Endpointهای داخلی استفاده می‌کند. این دسترسی غیرمجاز به او امکان می‌دهد که داده‌های لازم برای مرحله بعد را جمع‌آوری کند.

در مرحله بعد، مهاجم درخواست‌های Crafted‌شده خاصی را به دستگاه ارسال می‌کند تا از CVE-2025-20333 بهره‌برداری کند. نتیجه آن اجرای کد از راه دور است. پس از اجرای موفقیت‌آمیز حمله، مهاجم معمولاً مجموعه‌ای از ابزارها را روی دستگاه نصب می‌کند؛ شامل کانال‌های مخفی، ماژول‌هایی برای شنود ترافیک VPN، اسکریپت‌های پایداری که در هنگام راه‌اندازی دوباره سیستم فعال می‌شوند و حتی تغییرات سیستم فایل برای پنهان‌کاری.

در مرحله پایانی، مهاجم کنترل کامل دستگاه را در دست دارد و می‌تواند با دست‌کاری پالیسی‌ها، مسیرهای NAT، ACLها و تنظیماتSSL، ساختار امنیتی شبکه را به‌طور کامل بازآرایی کند. در این شرایط، سازمان عملاً توان تشخیص یا مهار رفتار مهاجم را از دست می‌دهد.

پیامدهای نفوذ به فایروال لبه شبکه در آسیب‌پذیری‌های Cisco ASA/FTD

نفوذ موفقیت‌آمیز به فایروال سازمان، خطری به مراتب بزرگ‌تر از نفوذ به یک سرور داخلی یا حتی یک ایستگاه کاری دارد. فایروال مرکز فرمان کنترل جریان ترافیک سازمان است و هرگونه دست‌کاری در آن می‌تواند پیامدهای فاجعه‌باری داشته باشد.

از منظر محرمانگی، مهاجم می‌تواند تمام ترافیک عبوری شامل ارتباطات VPN، تبادل داده‌های مدیریتی، و ترافیک سرویس‌های داخلی را مشاهده یا دست‌کاری کند. این موضوع به‌تنهایی نقض کامل محرمانگی را رقم می‌زند.

از منظر یکپارچگی، مهاجم می‌تواند تنظیمات اصلی فایروال را تغییر دهد. تغییر درNAT، ACL،SSL Policy  و VPN Configuration  عملاً شبکه را از حالت عادی خارج می‌کند. مهاجم حتی می‌تواند مسیرهای ترافیکی را تغییر دهد تا داده‌ها از کانال‌های دیگری خارج شوند یا ارتباطات مدیران به‌طور پنهانی شنود شود.

از منظر دسترس‌پذیری، کنترل فایروال می‌تواند به قطع کامل شبکه منجر شود. مهاجم می‌تواند روتینگ را نابود کند،VPN کاربران را قطع کند، اینترفیس‌های حیاتی را خاموش کند و حتی با خراب‌کردن Firmware، دستگاه را غیرقابل استفاده کند. بدتر از همه این که این نفوذ می‌تواند مقدمه‌ای برای حمله به سایر بخش‌های حیاتی سازمان باشد: از اکتیودایرکتوری گرفته تا vCenter، دیتابیس‌ها، سرورهای ایمیل و حتی زیرساخت ذخیره‌سازی.

بیشتر بخوانید: بررسی آسیب‌پذیری سیسکو – Denial of Service در Dynamic Access Policies

چگونه تشخیص دهیم که فایروال آلوده شده است؟

تشخیص نفوذ روی دستگاهی که مهاجم کنترل کامل آن را در دست دارد پیچیده است. اما چند نشانه هشداردهنده می‌تواند به تیم امنیت کمک کند: اگر لاگ‌ها کمتر از حد معمول هستند یا بخش‌هایی از آن‌ها حذف شده‌اند، باید شک کرد. تغییرات غیرمنتظره در پیکربندی، مخصوصاً در قسمت‌های WebVPN یا SSL، از نشانه‌های جدی هک شدن هستند. اگر دستگاه با IPهایی خارج از شبکه سازمان ارتباط برقرار می‌کند، به‌ویژه روی پورت‌های غیرمعمول UDP، احتمال Compromise بسیار زیاد است.

همچنین وجود فایل‌های ناشناخته در مسیرهای سیستمی یا تغییر ناگهانی در رفتار رمزنگاری SSL می‌تواند نشان‌دهنده حضور بدافزار سطح پایین باشد. گاهی تنها راه کشف حمله، مقایسه کامل ایجاد Snapshot از فایل‌سیستم و پیکربندی دستگاه با نسخه‌های قدیمی‌تر است.

راهبردهای کاهش ریسک و دفاع سازمانی

مهم‌ترین اقدام، به‌روزرسانی فوری دستگاه اسن. سیسکو نسخه‌های اصلاح‌شده را منتشر کرده و سازمان‌ها باید بدون تأخیر آن‌ها را نصب کنند. سازمان‌هایی که WebVPN را به‌دلایل غیرضروری فعال گذاشته‌اند، باید آن را غیرفعال کنند یا دسترسی آن را به شبکه داخلی محدود نمایند.

اقدامات ضروری برای مقابله با آسیب‌پذیری‌های Cisco ASA/FTD در لایه مدیریت و به‌روزرسانی امنیتی

مدیریت دستگاه باید تنها از طریق یک شبکه مدیریتی ایزوله انجام شود و دسترسی از اینترنت به‌طور کامل بسته شود. فعال‌سازی MFA برای حساب‌های مدیریتی، یکی از ساده‌ترین اما مؤثرترین لایه‌های دفاعی است.

لاگ‌های فایروال باید با حساسیت بالا (level 7) فعال شده و به‌صورت بلادرنگ به SIEM ارسال شود. همچنین لازم است که ruleهای Snort و امضاهای امنیتی مربوط به این آسیب‌پذیری روی دستگاه به‌روز شوند.

سازمان‌ها باید مسیرهایNAT، پالیسی‌های SSL، تنظیمات VPN و فایل‌های سیستمی را به‌طور دوره‌ای بررسی کنند تا آثار هرگونه تغییر غیرمجاز آشکار شود. علاوه بر این، استفاده از ابزارهای تحلیل رفتاری شبکه برای بررسی الگوهای غیرعادی در ترافیک خروجی دستگاه، می‌تواند نشانه‌های حیاتی از نفوذ قبلی فراهم کند.

ابعاد استراتژیک و پیامدهای سازمانی آسیب‌پذیری‌های Cisco ASA/FTD در لایه لبه شبکه

آسیب‌پذیری‌های اخیر در Cisco ASA/FTD تنها یک نقص نرم‌افزاری نیستند؛ بلکه زنگ خطری جدی درباره شکنندگی لایه لبه شبکه هستند. فایروال‌ها تنها زمانی مؤثرند که خود ایمن باشند. نفوذ به آن‌ها برابر است با نفوذ به کل سازمان.

آنچه این حملات را خطرناک‌تر می‌کند، ترکیب امکان بهره‌برداری از اینترنت، عدم نیاز به احراز هویت، امکان اجرای کد و قابلیت پایداری طولانی‌مدت است. در نتیجه، سازمان‌ها باید لایه امنیت فایروال‌ها را از یک بخش ساده عملیاتی به یک حوزه استراتژیک ارتقا دهند؛ حوزه‌ای که نیازمند مانیتورینگ مداوم، پیکربندی سخت‌گیرانه، ایزوله‌سازی و تحلیل‌رفتاری در سطح Enterprise  است.

در دورانی که تهدیدات سایبری هوشمندتر و سازمان‌یافته‌تر شده‌اند، محافظت از لبه شبکه یک ضرورت حیاتی، و رسیدگی فوری به آسیب‌پذیری‌هایی مانند این دو، تنها راه جلوگیری از یک فاجعه امنیتی است.

نقش گروه‌های APT و ارتباط حمله با جنگ سایبری دولت‌ها

حملات مرتبط با آسیب‌پذیری‌های Cisco ASA/FTD نشان می‌دهد که ما با یک روند کاملاً جدید در تهدیدات سایبری مواجهیم؛ روندی که در آن، گروه‌های Advanced Persistent Threat (APT) به جای هدف‌گیری کاربران، سرورها یا زیرساخت‌های داخلی، به‌طور مستقیم نرم‌افزارها و سخت‌افزارهایامنیتی را مورد حمله قرار می‌دهند. در کمپین ArcaneDoor، شواهد به‌طور واضح نشان می‌داد که مهاجمان به دنبال دسترسی کوتاه‌مدت برای ایجاد اختلال نبودند؛ بلکه هدف آن‌ها ایجاد یک حضور طولانی‌مدت و پایدار برای جاسوسی و نظارت استراتژیک بوده است.

این حملات به‌طور معمول با رویکردهای کلاسیک جرم سایبری تفاوت دارند. مهاجمان برای کسب درآمد سریع یا ایجاد خرابی کور وارد سیستم نمی‌شوند. بلکه اهداف آن‌ها بلندمدت و کاملاً اطلاعات‌محور است. به همین دلیل است که گروه‌های APT از زنجیره ضعف‌ها در WebVPN استفاده کردند؛ زیرا با کنترل فایروال، می‌توانند بدون اینکه هیچ‌یک از سامانه‌های امنیتی درون شبکه متوجه شوند، ترافیک سازمان را رصد کنند.

پنهان‌کاری مهاجمان و نقش آسیب‌پذیری‌های Cisco ASA/FTD در شکل‌گیری نسل جدید جنگ سایبری دولتی

در بسیاری از موارد مشاهده شده که مهاجمان ماه‌ها یا حتی سال‌ها در فایروال‌های سازمانی حضور داشته‌اند، بدون اینکه تیم‌های SOC  حتی یک هشدار دریافت کنند. این پنهان‌کاری حرفه‌ای باعث شده برخی کارشناسان امنیت سایبری اعلام کنند که «حملات مبتنی بر فایروال» در حال تبدیل شدن به نسل جدیدجنگسایبریدولتی هستند.

نقش WebVPN در گسترش سطح حمله و جایگاه آن در زنجیره سوءاستفاده از آسیب‌پذیری‌های Cisco ASA/FTD

WebVPN یکی از سرویس‌هایی است که در بسیاری از سازمان‌ها فعال است، حتی زمانی که واقعاً مورد استفاده قرار نمی‌گیرد. دلیل آن غالباً این است که فعال بودن WebVPN اختلالی در عملکرد شبکه ایجاد نمی‌کند و بسیاری از مدیران شبکه اصلاً تصور نمی‌کنند که این سرویس می‌تواند منبع آسیب‌پذیری باشد.

اما WebVPN خصوصیتی دارد که آن را به یک نقطه حمله جذاب تبدیل می‌کند: این سرویس همیشه از اینترنت قابل دسترسی است.

در واقع، WebVPN ترکیبی از وب‌سرور، موتور TLS ،Session Manager و موتور Authentication است. همین ترکیب پیچیده باعث می‌شود کوچک‌ترین نقص در آن، قابلیت تبدیل شدن به یک Zero-Day بزرگ را داشته باشد. CVEهای اخیر دقیقاً از این پیچیدگی سوءاستفاده کردند و نشان دادند که WebVPN اگر پیکربندی نشده یا به‌روزرسانی نشود، می‌تواند دروازه نفوذ به کل سازمان باشد.

نکته نگران‌کننده‌تر این است که بسیاری از سازمان‌ها WebVPN را فعال گذاشته‌اند، اما هیچ‌گونه لاگ‌گیری دقیق یا Monitoring دائمی روی آن ندارند. به همین دلیل است که Exploitation این آسیب‌پذیری‌ها اغلب بدون هیچ علائم هشداردهنده‌ای اتفاق می‌افتد.

لزوم تحول معماری امنیت سازمان در پاسخ به آسیب‌پذیری‌های Cisco ASA/FTD و حرکت به‌سوی معماری Zero Trust

آسیب‌پذیری‌های اخیر Cisco ASA/FTD تنها یک هشدار فنی نیستند؛ بلکه یک هشدار معماری هستند. این رخداد نشان داد که معماری امنیت بسیاری از سازمان‌ها بیش از حد بر اساس اعتماد به تجهیزات لبه شبکه طراحی شده است. این رویکرد در عصر Zero-Dayها کارایی ندارد. سازمان‌ها باید از مدل‌های سنتی، که در آن فایروال نقطه قابل اعتماد مطلق است، فاصله بگیرند. رویکردهای جدیدی مانند Zero Trust Architecture یاZTA  تأکید می‌کنند که هیچ نقطه‌ای حتی فایروال نباید مورد اعتماد کامل باشد. در چنین رویکردی، حتی اگر فایروال آسیب ببیند، هنوز چندین لایه دیگر وجود خواهد داشت که از دسترسی مهاجم جلوگیری کنند. برای مثال:

• ارتباطات مدیریتی باید از طریق شبکه‌های کاملاً ایزوله انجام شود، نه از طریق LAN عمومی یا اینترنت.
• دسترسی کاربران VPN باید پشت سرویس‌های Identity قرار گیرد و نه تنها پشت WebVPN.
• مانیتورینگ ترافیک خروجی فایروال باید بخشی از سیستم SIEM باشد، نه یک ویژگی حاشیه‌ای.
• سیستم‌های تشخیص رفتار غیرعادی UEBA/NTA باید روی ترافیک فایروال فعال باشند تا هرگونه تغییر الگو شناسایی شود. این تغییر معماری، سازمان را از یک ساختار «دفاع نقطه‌ای» به یک ساختار «دفاع لایه‌مند و توزیع‌شده» منتقل می‌کند.

نقش Logging و Visibility در جلوگیری از حملات آینده

یکی از مهم‌ترین درس‌هایی که این حملات به ما می‌دهد، اهمیت Logging سطح بالا و Visibility کامل روی فایروال‌هاست. بسیاری از سازمان‌ها هنوز از Logging پیش‌فرض فایروال استفاده می‌کنند؛ در حالی که سطح پیش‌فرض logging تنها بخشی از رخدادهای حیاتی را ثبت می‌کند. مهاجمان حرفه‌ای معمولاً در همان دقایق اول پس از نفوذ، logging را غیرفعال یا محدود می‌کنند. بنابراین سازمانی که logging را به SIEM ارسال نمی‌کند، در عمل قابلیت شناسایی حمله را از دست می‌دهد.

در تجربه سازمان‌هایی که آلوده شده‌اند، دیده شده که تنها نشانه موجود یک ارتباط خروجی غیرمعمول بوده؛ چیزی که در سیستم‌های معمولی قابل توجه نیست، اما در سیستم‌هایی که NetFlow و NTA فعال دارند فوراً شناسایی می‌شود.

چشم‌انداز آینده تهدیدات و گسترش حملات مشابه مبتنی بر آسیب‌پذیری‌های Cisco ASA/FTD در لایه لبه شبکه

حمله به Cisco ASA/FTD نشان‌دهنده تغییر الگوی تهدیدات است. در گذشته مهاجمان معمولاً به‌دنبال آسیب‌پذیری‌هایی بودند که بتوانند به سرورهای داخلی یا میزکار کاربران نفوذ کنند. اما اکنون لایه لبه شبکه سخت‌افزارهایی که وظیفه امنیت را برعهده دارند—به هدف اصلی تبدیل شده است.

احتمالاً در آینده شاهد حملات مشابه روی دستگاه‌های زیر خواهیم بود:

• FortiGate SSL VPN
• Palo Alto GlobalProtect
• CheckPoint Quantum Gateways
• Sophos XG Firewall
• F5 BIG-IP
• Citrix ADC

هرکدام از این دستگاه‌ها دارای سرویس‌های مشابهی مانند WebVPN ،Portals، یا سرویس‌های TLS termination هستند که همواره در معرض تهدیدات Zero-Day قرار دارند.

آسیب‌پذیری‌های Zero-Day اخیر Cisco ASA/FTD نشان دادند که امنیت شبکه تنها زمانی پایدار است که همه لایه‌ها از تجهیزات لبه شبکه گرفته تا هویت کاربران، از logging تا تحلیل‌رفتاری به شکل هماهنگ کار کنند.

این حملات به ما یادآوری می‌کند که:

• فایروال‌ها شکست‌ناپذیر نیستند؛
• سرویس‌هایی مانند WebVPN نباید بدون نیاز عملیاتی فعال باشند؛
• logging  باید همیشه فعال و سطح بالا باشد؛
• امنیت فقط با Patch به دست نمی‌آید و نیازمند معماری صحیح است؛
• و مهم‌تر از همه،Zero Trust دیگر یک انتخاب نیست، بلکه یک ضرورت حیاتی است.

سازمان‌هایی که معماری امنیت خود را بر اساس این اصول بازطراحی می‌کنند، توانایی مقاومت در برابر حملات پیشرفته آینده را خواهند داشت. اما سازمان‌هایی که همچنان به معماری‌های سنتی تکیه می‌کنند، در برابر موج جدید حملات مبتنی بر Zero-Day آسیب‌پذیر باقی خواهند ماند.

مقاله های مرتبط: