🔴 Pilnie przeanalizujcie / załatajcie urządzenia Cisco ASA. Atakujący zdalnie infekują te urządzenia.

CISA ostrzega, o trwającej kampanii infekującej trwale urządzenia VPN (dwie podatności 0day).

Pierwsza podatność (CVE-2025-20362) umożliwia na dostęp bez uwierzytelnienia do pewnych URLu na web serwerze urządzenia.

Druga podatność (CVE-2025-20333) to wykonanie poleceń jako root na urządzeniu. Dzięki poprzedniej podatności, może to być zrealizowane bez uwierzytelnienia (!)

Wg CISA, Infekcja jest trwała i przeżywa restarty, a nawet aktualizację urządzenia:

„The campaign is widespread and involves (…) manipulating read-only memory (ROM) to persist through reboot and system upgrade. „

Tutaj można znaleźć instrukcje postępowania.

~ms