Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Adaptive Security Appliance (ASA) versions 9.12.x antérieures à 9.12.4.72
- Adaptive Security Appliance (ASA) versions 9.14.x antérieures à 9.14.4.28
- Adaptive Security Appliance (ASA) versions 9.16.x antérieures à 9.16.4.85
- Adaptive Security Appliance (ASA) versions 9.17.x et 9.18.x antérieures à 9.18.4.67
- Adaptive Security Appliance (ASA) versions 9.19.x et 9.20.x antérieures à 9.20.4.10
- Adaptive Security Appliance (ASA) versions 9.22.x antérieures à 9.22.2.14
- Adaptive Security Appliance (ASA) versions 9.23.x antérieures à 9.23.1.19
- Firewall Threat Defense (FTD) versions 7.0.x antérieures à 7.0.8.1
- Firewall Threat Defense (FTD) versions 7.1.x et 7.2.x antérieures à 7.2.10.2
- Firewall Threat Defense (FTD) versions 7.3.x et 7.4.x antérieures à 7.4.2.4
- Firewall Threat Defense (FTD) versions 7.6.x antérieures à 7.6.2.1
- Firewall Threat Defense (FTD) versions 7.7.x antérieures à 7.7.10.1
Résumé
Le 25 septembre 2025, Cisco a publié plusieurs avis de sécurité, un billet de blogue ainsi qu'un guide de détection concernant des vulnérabilités affectant le serveur VPN Web de Adaptive Security Appliance (ASA) et Secure Firewall Threat Defense (FTD).
La vulnérabilité CVE-2025-20362 permet à un attaquant de contourner l'authentification pour accéder à des ressources protégées.
La vulnérabilité CVE-2025-20333 permet à un attaquant authentifié d'exécuter du code arbitraire à distance.
Exploitées conjointement, celles-ci permettent à un attaquant non authentifié de prendre la main sur une machine vulnérable.
Cisco indique que ces vulnérabilités sont activement exploitées.
Solutions
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Dans l'attente de l'application des correctifs, Cisco recommande de désactiver les services VPN (IKEv2 et SSL VPN).
L'éditeur fournit également des renseignements pour tenter de détecter une compromission potentielle (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-asaftd-webvpn-YROOTUW du 25 septembre 2025 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
- Bulletin de sécurité Cisco cisco-sa-asaftd-webvpn-z5xP8EUB du 25 septembre 2025 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
- Avis CERT-FR CERTFR-2025-AVI-0819 du 25 septembre 2025 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0819/
- Billet de blogue Cisco du 25 septembre 2025 https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
- Compromission d'un équipement de bordure réseau - Endiguement https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/
- Compromission d'un équipement de bordure réseau - Qualification https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/
- Guide de détection Cisco du 25 septembre 2025 https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
- Référence CVE CVE-2025-20333 https://www.cve.org/CVERecord?id=CVE-2025-20333
- Référence CVE CVE-2025-20362 https://www.cve.org/CVERecord?id=CVE-2025-20362
