Figyelemfelhívás Cisco sérülékenységre
A CISA frissítette útmutatóit a Cisco biztonsági eszközeinek frissítéséről, amelyek Kínához köthető támadások célpontjává váltak. A problémát két, 2025 szeptemberében javított biztonsági hiba okozza (CVE-2025-20362 és CVE-2025-20333), amelyek az ArcaneDoor kémkedési kampány keretében kerültek kihasználásra. Ezek a sebezhetőségek lehetővé teszik a támadók számára, hogy hitelesítés nélkül hozzáférjenek korlátozott URL-végpontokhoz, és távról kódot futtassanak a sebezhető Cisco ASA és FTD eszközökön. Ha a két hibát kombinálják, a támadók teljes ellenőrzést szerezhetnek az érintett eszközök felett.
A CISA 2025. szeptember 25-én kiadott sürgősségi irányelvében felszólította a szövetségi ügynökségeket, hogy azonnal azonosítsák és frissítsék a sebezhető Cisco eszközeiket, valamint gyűjtsenek bizonyítékokat és értékeljék le, hogy történt-e kompromittálás. A hatóság kiemelte, hogy egyes ügynökségek tévesen jelentették, hogy frissítették az eszközeiket, holott valójában nem tették meg a szükséges lépéseket, így az eszközök továbbra is ki voltak téve a támadásoknak. A CISA novemberben újabb figyelmeztetést adott ki, mert a támadók új változatban kezdték kihasználni a hibákat, ami eszközök újratöltődéséhez és szolgáltatásmegtagadásos (DoS) állapothoz vezethet.
A támadások főleg a Storm-1849 (más néven UAT4356) nevű, Kínához köthető csoport tevékenységéhez kapcsolódnak, akik 2024 óta célozzák meg a Cisco ASA eszközeit. A csoport főleg az USA kormányzati és katonai szervezeteket, valamint pénzügyi intézményeket és védelemipari vállalatokat figyeli. A CISA és más kiberbiztonsági szervezetek, például a Palo Alto Networks Unit 42, folyamatosan észlelnek és elemezik a támadási kísérleteket, és sürgetik az eszközök azonnal frissítését.
