CISA a publié une nouvelle directive d’urgence ordonnant aux agences fédérales américaines de sécuriser leurs périphériques pare-feu Cisco contre deux failles qui ont été exploitées lors d’attaques zero-day.
La Directive d’urgence 25-03 a été émise aux agences de l’Exécutif civil fédéral (FCEB) le 25 septembre et les oblige à corriger les vulnérabilités CVE-2025-20333 et CVE-2025-20362 dans les logiciels Adaptive Security Appliance (ASA) et Firewall Threat Defense (FTD).
« La campagne est très répandue et implique l’exploitation des vulnérabilités zero-day pour obtenir une exécution de code à distance non authentifiée sur les ASA, ainsi que la manipulation de la mémoire morte (ROM) pour persister lors du redémarrage et de la mise à niveau du système. Cette activité présente un risque important pour les réseaux de victimes », a averti la CISA aujourd’hui.
« CISA demande aux agences de rendre compte de tous les périphériques Cisco ASA et Firepower, de collecter des analyses judiciaires et d’évaluer les compromis via les procédures et outils fournis par CISA, de déconnecter les périphériques de fin de support et de mettre à niveau les périphériques qui resteront en service. »
L’agence américaine de cybersécurité exige désormais que toutes les agences FCEB identifient tous les appareils Cisco ASA et Firepower sur leurs réseaux, déconnectent tous les appareils compromis du réseau et corrigent ceux qui ne montrent aucun signe d’activité malveillante d’ici 12 h HAE le 26 septembre.
De plus, CISA a ordonné aux agences de déconnecter définitivement les périphériques ASA qui arrivent en fin de support d’ici le 30 septembre de leurs réseaux.
Exploitation liée à la campagne ArcaneDoor 2024
Cisco a publié des mises à jour de sécurité pour remédier aux deux failles de sécurité plus tôt dans la journée, indiquant que CVE-2025-20333 peut permettre aux attaquants authentifiés d’obtenir à distance l’exécution de code sur des périphériques vulnérables, tandis que CVE-2025-20362 permet aux acteurs de la menace distants d’accéder à des points de terminaison d’URL restreints sans authentification.
Lorsqu’elles sont chaînées, les deux vulnérabilités peuvent permettre à des attaquants non authentifiés d’obtenir le contrôle total des appareils non corrigés à distance.
« Les attaquants ont été observés pour avoir exploité plusieurs vulnérabilités zero-day et utilisé des techniques d’évasion avancées telles que la désactivation de la journalisation, l’interception des commandes CLI et le plantage intentionnel des périphériques pour empêcher l’analyse de diagnostic », a déclaré Cisco aujourd’hui, ajoutant que les attaques ciblaient les périphériques de la série 5500-X avec les services Web VPN activés.
« Au cours de notre analyse médico-légale des appareils compromis confirmés, dans certains cas, Cisco a observé l’auteur de la menace modifier ROMMON pour permettre la persistance entre les redémarrages et les mises à niveau logicielles. »
CISA et Cisco ont lié ces attaques en cours à la campagne ArcaneDoor, qui a exploité deux autres zero-days ASA et FTD (CVE-2024-20353 et CVE-2024-20359) pour violer les réseaux gouvernementaux dans le monde entier depuis novembre 2023.
Cisco a pris connaissance des attaques ArcaneDoor début janvier 2024 et a découvert des preuves que le groupe de menaces UAT4356 à l’origine de la campagne (suivi sous le nom de STORM-1849 par Microsoft) avait testé et développé des exploits pour les deux jours zéro depuis au moins juillet 2023.
Dans les attaques, les pirates ont déployé un chargeur de shellcode en mémoire Line Dancer et un malware de porte dérobée Line Runner jusqu’alors inconnus pour maintenir la persistance sur les périphériques Cisco compromis.
Vendredi, Cisco a corrigé une troisième vulnérabilité critique (CVE-2025-20363) dans son pare-feu et son logiciel Cisco IOS, qui peut permettre aux acteurs de la menace non authentifiés d’exécuter du code arbitraire à distance sur des périphériques non corrigés.
Cependant, la société ne l’a pas directement liée à ces attaques dans l’avis d’aujourd’hui, affirmant que son Équipe de réponse aux incidents de sécurité des produits « n’est au courant d’aucune annonce publique ou utilisation malveillante de la vulnérabilité. »