Cisco四零日漏洞遭國家級駭客利用 CISA緊急要求聯邦機構修補防火牆
回到上一頁

Cisco四零日漏洞遭國家級駭客利用 CISA緊急要求聯邦機構修補防火牆

2025-09-26
美國網路安全與基礎設施安全局(CISA)於9月25日發布緊急指令,警告國家級先進持續威脅(APT)行為者利用Cisco Adaptive Security Appliance(ASA)防火牆的零日漏洞發動廣泛網路間諜攻擊,影響數百萬裝置。該攻擊與2024年春季「ArcaneDoor」行動有關,攻擊者透過遠端程式碼執行(RCE)漏洞CVE-2025-20333(CVSS 9.9)及CVE-2025-20363(CVSS 9.0),並結合權限提升漏洞CVE-2025-20362(CVSS 6.5),修改唯讀記憶體(ROM)以持久化存取。Cisco於9月24日另揭露IOS及IOS XE的零日漏洞CVE-2025-20352(CVSS 7.7),遭野外利用。CISA要求聯邦民用行政部門(FCEB)機構於9月26日前斷開終止支援裝置並升級軟體,台灣企業廣泛使用Cisco防火牆,資安單位呼籲立即檢查並修補,防範供應鏈入侵風險。
 
CISA緊急指令(ED 25-03)指出,此攻擊廣泛利用零日漏洞獲取未經驗證RCE,並修改ASA ROM以穿越重啟及系統升級,Cisco評估與2024年初ArcaneDoor行動同一APT團體,該團體最早於2024年展現修改ASA ROM能力。 ArcaneDoor攻擊針對Cisco ASA零日漏洞,入侵美國聯邦機構,竊取敏感資料。此輪攻擊影響ASA 5500-X系列防火牆(如5512-X至5585-X)及Firepower Threat Defense(FTD),適用於運行ASA軟體9.12或9.14版本、啟用VPN Web服務且無Secure Boot及Trust Anchor的裝置。 許多受影響裝置已達生命週期終止(EoL),Cisco敦促客戶升級支援模型。
 
攻擊細節顯示,APT團體利用CVE-2025-20333及CVE-2025-20362鏈結,獲取未經驗證RCE及權限提升,CVE-2025-20363為堆疊緩衝區溢位漏洞,允許未經驗證遠端攻擊者執行任意程式碼。 Cisco公告指,CVE-2025-20333及CVE-2025-20362遭野外利用,CVE-2025-20363高風險。CISA於7月15日將CVE-2024-36401加入KEV目錄,但此四漏洞為新威脅,影響數百萬企業裝置。Qualys威脅研究經理Mayuresh Dani指出,Cisco龐大部署規模及遺留程式碼,結合Web攻擊表面及嵌入式系統挑戰,形成「完美漏洞風暴」。
 
Cisco於9月24日另公布CVE-2025-20352,為IOS及IOS XE軟體SNMP子系統的堆疊緩衝區溢位漏洞,影響所有啟用SNMP且未排除受影響OID的裝置,包括Meraki MS390及Catalyst 9300系列交換器運行Meraki CS 17或更早版本。Trend Micro Zero Day Initiative威脅意識主管Dustin Childs估計,至少200萬裝置受影響。 此漏洞允許已驗證遠端攻擊者以root權限執行程式碼或DoS,需SNMPv1/v2c唯讀社群字串或SNMPv3用戶憑證及管理員權限。Rapid7資安研究員Ryan Emmons表示,雖然非預設配置,但實務環境常見,易用於權限提升及側向移動,而非初始存取。
 
CISA指令要求FCEB機構於9月26日23:59 EST前斷開EoS裝置並升級在用裝置,適用於所有聯邦民用行政部門。Cisco建議升級至IOS XE 17.15.4a或排除OID,若無法立即升級,實施緩解措施。Sectigo資深研究員Jason Soroko指出,Cisco裝置普遍性及網路瓶頸位置,吸引攻擊者:「單一管理平面漏洞可擊中艦隊,網際網路暴露管理介面易大規模利用,修補延遲給敵手長窗。」 攻擊未歸因特定國家,但涉及多美國聯邦機構,俄羅斯及中國APT常鎖定Cisco漏洞。
 
台灣資安專家分析,此攻擊對本土影響深遠。Cisco防火牆及IOS廣泛用於台灣企業、政府及關鍵基礎設施,如金融、電信及製造業。行政院國家資通安全會報表示,將監測Cisco零日漏洞相關威脅,呼籲用戶檢查ASA及IOS版本,立即升級並斷開EoL裝置。趨勢科技台灣區總經理洪偉淦受訪時指出:「國家級APT利用RCE及ROM修改,顯示供應鏈攻擊升級。台灣企業應實施零信任分段,監控SNMP流量,並定期紅隊測試邊緣裝置。」他建議,使用Cisco Software Checker工具驗證配置,啟用MFA及WAF過濾,並與國際共享IOC,防範ArcaneDoor類行動導致資料竊取或持久化存取。
 
此事件與近期資安趨勢呼應,如CISA揭GeoServer漏洞入侵聯邦機構、北韓Kimsuky利用ChatGPT偽造軍ID釣魚,顯示零日漏洞及國家級APT頻發。Cisco公告提醒,SNMP暴露於網際網路極危險,應限制存取。台灣政府可借鏡CISA,強化關鍵基礎設施修補機制,強制KEV漏洞21天內修補。企業防範之道包括:檢查OID排除、升級韌體、監控異常RCE嘗試。隨著5G及IoT擴張,Cisco裝置成攻擊焦點,及時修補是防禦關鍵。
 
出處:Dark Reading 作者:Alexander Culafi