این دو آسیبپذیری CVE-2025-20333 و CVE-2025-20362، زنجیرهای بحرانی برای دور زدن احراز هویت و اجرای کد ریموت روی Cisco ASA و Firepower Threat Defense هستند که میتوانند عملاً کنترل کامل فایروال سازمانی را به مهاجم بدهند و در حال حاضر نیز بهطور فعال در حملات پیشرفته مانند کمپینهای شبیه ArcaneDoor سوءاستفاده میشوند. برای سازمانی که از WebVPN/AnyConnect روی ASA/FTD استفاده میکند، این یک «سناریوی همهچیز-را-رها-و-الان-پچ-کن» است و نیازمند اقدام فوری، پایش لاگها و شکار نشانههای نفوذ است.
معرفی و زمینه فنی Cisco ASA
Cisco ASA و Cisco Firepower Threat Defense یا FTD جزو پرکاربردترین فایروالهای سازمانی و دروازههای VPN در شبکههای اینترپرایزی، دولتی و زیرساخت حیاتی هستند و WebVPN/AnyConnect معمولاً روی این تجهیزات فعال است. این جایگاه باعث میشود هر آسیبپذیری در سطح وبسرور VPN یا سرویسهای وب داخلی آنها عملاً دریچهای مستقیم به ناحیه «باورداشتهشده امن» شبکه ایجاد کند.
در سال ۲۰۲۵ مجموعهای از سه CVE شامل CVE-2025-20333 ،CVE-2025-20362 و CVE-2025-20363 معرفی شد که دو مورد اول مستقیماً Cisco ASA/FTD WebVPN را هدف میگیرند و سوم یک RCE گستردهتر در ASA/FTD و برخی نسخههای IOS/IOS XE/IOS XR است. گزارشها نشان میدهد این باگها بهعنوان zero‑day در حملات جاسوسی پیشرفته علیه ASA 5500‑X و پلتفرمهای Firepower بدون Secure Boot سوءاستفاده شدهاند.
CVE-2025-20333 :RCE احرازشده در WebVPN
CVE-2025-20333 یک آسیبپذیری سرریز بافر CWE‑120 در وبسرور VPN یا WebVPN/AnyConnect روی Cisco ASA و FTD است. ریشه مشکل در اعتبارسنجی ناکافی ورودی کاربر در درخواستهای HTTP(S) است؛ دادههای بزرگ یا بدفرم در بافر داخلی بدون بررسی کافی اندازه کپی میشوند و امکان overwrite ساختارهای کلیدی حافظه و اشارهگرهای تابع فراهم میشود.
بر اساس مشاورههای امنیتی، بهرهبرداری موفق از CVE-2025-20333 به مهاجم اجازه میدهد کد دلخواه را با سطح دسترسی Root روی دستگاه آسیبپذیر اجرا کند و این یعنی امکان تسلط کامل بر فایروال، تغییر پالیسیها، نصب بکدور و دستکاری ترافیک عبوری. Cisco و مراجع دولتی صراحتاً این باگ را در رده بحرانی با CVSS نزدیک به ۹٫۹ امتیازدهی کردهاند و گزارشها از تلاشهای بهرهبرداری فعال و قرار گرفتن آن در فهرست KEV یا Known Exploited Vulnerabilities CISA حکایت دارد.
نکته کلیدی این است که CVE-2025-20333 بهصورت تئوریک برای بهرهبرداری به اعتبارنامه معتبر VPN نیاز دارد؛ یعنی هر اکانت کاربر ریموت میتواند تبدیل به پیوت برای اجرای کد شود. اما در عمل، باگهای احراز هویت نظیر CVE-2025-20362 این پیشنیاز را بیاثر میکنند و زنجیرهای کاملاً غیراحرازشده خلق میکنند.
بیشتر بخوانید: Cisco XDR چیست؟ تحلیل تخصصی نقش آن در مقابله با تهدیدات پیچیده و مدیریت امنیت سازمانی
CVE-2025-20362: دور زدن احراز هویت WebVPN
CVE-2025-20362 یک نقص authorization bypass در کامپوننت WebVPN ASA/FTD است که اجازه میدهد درخواستهای HTTP(S) به endpointهایی برسند که در حالت عادی نیازمند احراز هویت هستند. این نقص به مهاجم غیراحرازشده امکان میدهد با ساخت درخواستهای خاص، از مکانیزمهای کنترل دسترسی عبور کرده و به مسیرها و APIهایی دسترسی یابد که میتوانند برای chain شدن با سایر باگها استفاده شوند.
بهتنهایی، CVE-2025-20362 احرای کد انجام نمیدهد، اما در ترکیب با CVE-2025-20333 به مهاجم اجازه میدهد بدون داشتن هرگونه اعتبارنامه، زنجیرهای برای RCE روت بسازد. Cisco، CISA و چندین شرکت تحلیل تهدید تأکید کردهاند که از این زنجیره در حملات واقعی استفاده شده و آن را به همان عامل تهدید دولتی پشت کمپین ArcaneDoor نسبت دادهاند.
در نتیجه، اگر Cisco ASA/FTD شما در برابر CVE-2025-20362 آسیبپذیر باشد، از دید تهدید باید آن را بهطور ضمنی نسبت به CVE-2025-20333 و CVE-2025-20363 نیز در معرض بهرهبرداری در نظر گرفت؛ چون همان سطح دسترسی اولیه را برای تمام زنجیره فراهم میکند.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
جدول تحلیلی: CVE-2025-20333 در برابر CVE-2025-20362
| ویژگی کلیدی | CVE-2025-20333 | CVE-2025-20362 |
| نوع نقص | سرریز بافر در وبسرور VPN (CWE‑120) | دور زدن احراز هویت در WebVPN |
| نیاز به احراز هویت | نیازمند اعتبارنامه VPN؛ اما قابل chain با 20362 برای حذف این پیشنیاز | کاملاً غیراحرازشده، از طریق HTTP(S) عمومی |
| تاثیر اصلی | اجرای کد دلخواه بهعنوان root روی ASA/FTD | دسترسی غیرمجاز به endpointهای محافظتشده و فراهم کردن دسترسی برای chain |
| حوزه تأثیر | Cisco ASA و FTD با WebVPN فعال | Cisco ASA و FTD در WebVPN |
| نقش در زنجیره حمله | مرحلهی RCE نهایی برای تسلط کامل بر دستگاه | مرحلهی Initial Access برای دور زدن لاگین و فراهمسازی pre‑auth access |
| وضعیت سوءاستفاده | در طبیعت مشاهده شده، در فهرست KEV CISA | بهرهبرداری فعال و chain شده با 20333 |
زنجیره حمله و تاکتیکهای مهاجمان
تحلیلهای تهدید نشان میدهد مهاجم ابتدا از CVE-2025-20362 برای ارسال درخواستهای HTTPS craft‑شده به WebVPN استفاده میکند تا بدون لاگین به endpointهای داخلی دسترسی یابد. این دسترسی پیشاحرازشده سپس برای شلیک payload سرریز بافر مرتبط با CVE-2025-20333 استفاده میشود که منجر به اجرای shellcode در فضای کاربری Cisco ASA و در نهایت اجرای کد در سطح Root میشود.
پس از دستیابی به RCE، حملات کشفشده شامل نصب backdoorهای پایدار مانندimplantهایی شبیه Line VIPER، سرکوب syslog، دستکاری کانترهای تشخیصی و حتی رهگیری دستورها CLI برای مخفی کردن حضور مهاجم بودهاند. تمرکز ویژه روی دستگاههای EoS مثل ASA 5500‑X بدون Secure Boot نشان میدهد مهاجمان عمداً سراغ نقاطی میروند که بهروزرسانی و کنترل یکپارچگی فریمور در آنها ضعیفتر است.
علاوه بر RCE، یک نوع حمله جدید گزارش شده که از همین CVE-ها برای Reload غیرمنتظرهی دستگاه و ایجاد شرایط DoS استفاده میکند؛ Cisco رسماً هشدار داده که این واریانت میتواند باعث ریبوت مکرر ASA/FTD غیرپچشده شود. این یعنی حتی اگر مهاجم بهدنبال جاسوسی نباشد، میتواند با کمترین هزینه، دستکم در دسترسپذیری سرویسهای VPN و فایروال اختلال جدی ایجاد کند.
بیشتر بخوانید: تحلیل و بررسی تخصصی جدیدترین آسیبپذیریهای Cisco ASA/FTD و پیامدهای استراتژیک آن برای امنیت سازمانها
محدوده نسخههای آسیبپذیر و محصولات درگیر
گزارشهای فنی و مشاورههای رسمی تأیید میکنند که نسخههای متعددی از Cisco ASA و FTD در بازههای نسخهای نسبتاً جدید آسیبپذیرند. برای نمونه، برخی تحلیلگران امنیتی نسخههای ASA 9.16 تا 9.23 و FTD 7.0 تا 7.7 را تحت تأثیر این مجموعه CVE اعلام کردهاند، هرچند تاکید شده که سازمانها باید نسخه دقیق ایمیج خود را با advisoryهای Cisco تطبیق دهند.
راهکارهای دفاعی و توصیههای عملی
برای مدیران شبکه و تیمهای SOC، مهار ریسک CVE-2025-20333 و CVE-2025-20362 نیازمند ترکیبی از اقدام فوری، اصلاح پیکربندی و سختگیری در پایش است.
اقدامات سطح بالا شامل موارد زیر است:
- بهروزرسانی فوری به نسخههای اصلاحشده. Cisco برای ASA/FTD نسخههای patched ارائه داده و بهصراحت توصیه کرده است که کاربران هرچه سریعتر به این ایمیجها ارتقا دهند؛ این بهعنوان گزینه اصلی و غیرقابل چشمپوشی مطرح شده است.
- ارزیابی فعال بودن: WebVPN/AnyConnect تنها سیستمهایی که وبسرور VPN فعال دارند در معرض CVE-2025-20333 قرار میگیرند؛ خاموش کردن موقت WebVPN در سناریوهایی که امکانپذیر است میتواند سطح حمله را کاهش دهد.
- محدودسازی دسترسی به اینترفیسهای مدیریت و VPN، قرار دادن پورتهای WebVPN پشت ACLهای سختگیرانه، VPN جداگانه ادمین و استفاده از فایروالهای بیرونی یا geo‑IP filtering میتواند احتمال سوءاستفاده pre‑auth را کاهش دهد.
از منظر تشخیص و پاسخ نیز توصیه شده است:
- پایش لاگهای WebVPN برای الگوهای غیرعادی مانند URLهای غیرمعمول، پارامترهای بسیار طویل، یا تلاشهای متعدد ناموفق با الگوی یکسان.
- بررسی نشانههای Compromise روی دستگاه مانند ریبوتهای غیرمنتظره، تغییرات غیرمستند در پالیسیها، کاربران VPN ناشناخته و تفاوت بین کانفیگ در حال اجرا و کانفیگ ذخیره شده.
- استفاده از ابزارهای شکار تهدید یا Threat Hunting و اسکنرهای آسیبپذیری که امضاهای مرتبط با این CVEها را دارند تا وضعیت patch و احتمال آلودگی بررسی شود.
نتیجهگیری برای معماری امنیت سازمانی
از منظر معماری دفاعی، زنجیره CVE-2025-20333 و CVE-2025-20362 یک یادآوری مهم است که حتی «دیوار آتش» نیز میتواند به اولین نقطه ورود تبدیل شود، بهویژه زمانی که سرویسهای وب و VPN روی آن expose شدهاند. این سناریو اهمیت رویکردهایی مثل hardening لبه شبکه، بهروزرسانی منظم تجهیزات امنیتی، جداسازی plane مدیریت، و استقرار لایههای دفاعی مستقل مانند IDS/IPS بیرونی و لاگینگ متمرکز خارج از فایروال را دوچندان میکند.
در عمل، پیام اصلی برای سازمانها این است که: اگر امروز روی Cisco ASA/FTD برای VPN و مرزبانی ترافیک تکیه میشود، بررسی سریع وضعیت این دوCVE، برنامهریزی Patch فوری، و ارزیابی نشانههای نفوذ گذشته باید در صدر اولویتهای امنیتی قرار گیرد.
