Multiples vulnérabilités critiques dans Cisco ASA et FTD - Exploitations actives

> Alerte CERT-FR CERTFR-2025-ALE-013 — Vulnérabilités critiques avec exploitations actives — Mise à jour immédiate requise

Le 25 septembre 2025, Cisco a publié plusieurs avis de sécurité concernant des vulnérabilités critiques affectant le serveur VPN Web de Adaptive Security Appliance (ASA) et Secure Firewall Threat Defense (FTD). Ces failles sont activement exploitées et permettent à un attaquant non authentifié de prendre le contrôle complet d'un équipement vulnérable.

Résumé exécutif

• CVE : CVE-2025-20333, CVE-2025-20362
• Gravité : Critique (RCE)
• Type : Contournement d'authentification + Exécution de code arbitraire à distance
• Authentification requise : Non (en combinaison)
• Complexité d'exploitation : Faible
• Statut : Exploitations actives confirmées
• Date de publication : 25 septembre 2025
• Dernière mise à jour CERT-FR : 09 décembre 2025

Vulnérabilités identifiées

CVE-2025-20362 - Contournement d'authentification

Cette vulnérabilité permet à un attaquant de contourner l'authentification pour accéder à des ressources protégées sur le serveur VPN Web.

CVE-2025-20333 - Exécution de code arbitraire

Cette vulnérabilité permet à un attaquant authentifié d'exécuter du code arbitraire à distance.

Exploitation combinée

Exploitées conjointement, ces deux vulnérabilités permettent à un attaquant non authentifié de prendre le contrôle complet d'un équipement vulnérable.

Systèmes affectés

Adaptive Security Appliance (ASA)

• ASA 9.12.x < 9.12.4.72
• ASA 9.14.x < 9.14.4.28
• ASA 9.16.x < 9.16.4.85
• ASA 9.17.x et 9.18.x < 9.18.4.67
• ASA 9.19.x et 9.20.x < 9.20.4.10
• ASA 9.22.x < 9.22.2.14
• ASA 9.23.x < 9.23.1.19

Firewall Threat Defense (FTD)

• FTD 7.0.x < 7.0.8.1
• FTD 7.1.x et 7.2.x < 7.2.10.2
• FTD 7.3.x et 7.4.x < 7.4.2.4
• FTD 7.6.x < 7.6.2.1
• FTD 7.7.x < 7.7.10.1

Chronologie des événements

• 25 septembre 2025 : Publication initiale des avis de sécurité par Cisco
• 26 septembre 2025 : Mise à jour CERT-FR avec procédures de détection
• 06 octobre 2025 : CERT-FR confirme la connaissance de codes d'exploitation publics
• 05 novembre 2025 : Cisco met à jour son billet de blogue - nouvelle attaque DoS identifiée
• 07 novembre 2025 : Cisco confirme une nouvelle attaque causant un déni de service à distance
• 09 décembre 2025 : Clôture de l'alerte CERT-FR (mais la menace persiste sans correctif)

Détection de compromission

Commandes de vérification

Le CERT-FR recommande d'effectuer les actions suivantes pour détecter une potentielle compromission :

1. Vérification de l'état du système :

show checkheaps

Lancer cette commande toutes les minutes pendant cinq minutes et sauvegarder les résultats. La valeur dans la ligne "Total number of runs" doit s'incrémenter. Si aucune évolution n'est constatée, cela indique une potentielle compromission.

2. Collecte d'informations techniques :

show tech-support detail

Sauvegarder les résultats sur un système tiers.

3. Recherche d'indicateurs de compromission :

more /binary system:/text | grep 55534154 41554156 41575756 488bb3a0

Si cette commande retourne des résultats, cela indique une potentielle compromission.

4. Vérification des événements syslog :

Surveiller les événements syslog suivants :

• 302013
• 302014
• 609002
• 71005

Une diminution notable de ces événements peut indiquer une potentielle compromission.

5. Vérification du fichier firmware_update.log :

À l'issue d'une mise à jour, rechercher la présence d'un fichier nommé firmware_update.log. En cas de présence, récupérer son contenu et sauvegarder les résultats. Cela indique une potentielle compromission.

Recherche de latéralisation

Si une compromission est détectée, effectuer une recherche plus large :

• Rechercher des connexions VPN rapprochées avec des origines géographiques distantes
• Rechercher les connexions ou tentatives de connexion vers Internet depuis l'équipement
• Vérifier si d'autres machines ont tenté une connexion vers ces adresses IP de destination

Solutions et correctifs

Mise à jour immédiate requise

Le CERT-FR recommande de mettre à jour au plus vite les équipements vers les versions correctives listées ci-dessus.

Se référer aux bulletins de sécurité Cisco pour l'obtention des correctifs :

• cisco-sa-asaftd-webvpn-YROOTUW
• cisco-sa-asaftd-webvpn-z5xP8EUB

Mesures temporaires

Si aucune mise à jour n'est disponible :

Le CERT-FR recommande de déconnecter l'équipement d'Internet.

Dans l'attente de l'application des correctifs :

Cisco recommande de désactiver les services VPN (IKEv2 et SSL VPN).

Actions en cas de compromission détectée

1. Isoler l'équipement du réseau

2. Préserver les preuves (logs, fichiers système)

3. Signaler immédiatement l'événement auprès du CERT-FR

4. Effectuer une rotation de l'ensemble des secrets et éléments de configuration

5. Effectuer une rotation de tous les secrets qui auraient pu transiter par cet équipement

Impact sur les PME

Pourquoi cette vulnérabilité est critique

1. Exposition Internet directe

• Les équipements ASA et FTD sont souvent exposés directement sur Internet
• Ils constituent des points d'entrée critiques dans les réseaux d'entreprise
• Une compromission permet un accès privilégié au réseau interne

2. Exploitations actives confirmées

• Des codes d'exploitation publics sont disponibles depuis octobre 2025
• Des attaques actives sont confirmées par Cisco et le CERT-FR
• Le risque d'exploitation en masse est élevé

3. Complexité de la mise à jour

• Les mises à jour d'équipements réseau nécessitent souvent une fenêtre de maintenance
• Peuvent nécessiter des tests approfondis en environnement de staging
• Risque de coupure de service pendant la mise à jour

Actions recommandées pour les PME

Immédiat (0-24h) :

1. ✅ Vérifier les versions de vos équipements ASA/FTD

2. ✅ Identifier les équipements exposés sur Internet

3. ✅ Effectuer les vérifications de compromission décrites ci-dessus

4. ✅ Si compromission détectée : isoler et contacter le CERT-FR

5. ✅ Si pas de compromission : planifier la mise à jour en urgence

Court terme (1-7 jours) :

1. ✅ Mettre à jour tous les équipements vers les versions sécurisées

2. ✅ Effectuer une rotation complète des secrets et mots de passe

3. ✅ Auditer les logs pour détecter des tentatives d'exploitation

4. ✅ Vérifier l'intégrité de tous les équipements

Moyen terme (1-4 semaines) :

1. ✅ Mettre en place un processus de veille sécurité

2. ✅ Automatiser les mises à jour de sécurité

3. ✅ Renforcer le monitoring et la détection

4. ✅ Planifier des audits de sécurité réguliers

Bonnes pratiques de sécurité

Gestion des équipements réseau

1. Veille sécurité active

• S'abonner aux alertes CERT-FR
• Suivre les avis de sécurité des éditeurs (Cisco PSIRT)
• Utiliser des outils de veille sécurité

2. Monitoring et logging

• Activer les logs détaillés sur tous les équipements
• Centraliser les logs sur un système de gestion des logs (SIEM)
• Monitorer les événements de sécurité en temps réel

3. Configuration sécurisée

• Désactiver les services non nécessaires
• Limiter l'accès aux interfaces d'administration
• Utiliser l'authentification à deux facteurs (2FA)
• Appliquer le principe du moindre privilège

Procédures de mise à jour

1. Planification

• Maintenir un inventaire à jour des équipements
• Suivre les cycles de vie des produits
• Planifier les fenêtres de maintenance

2. Tests

• Tester les mises à jour en environnement de staging
• Valider les fonctionnalités critiques
• Documenter les procédures de rollback

3. Déploiement

• Effectuer les mises à jour dans les fenêtres de maintenance prévues
• Surveiller les messages affichés sur la console pendant la mise à jour
• Vérifier l'intégrité après la mise à jour

Références et documentation

Avis officiels

• Bulletin de sécurité Cisco cisco-sa-asaftd-webvpn-YROOTUW
• Bulletin de sécurité Cisco cisco-sa-asaftd-webvpn-z5xP8EUB
• Guide de détection Cisco
• Billet de blogue Cisco
• Alerte CERT-FR CERTFR-2025-ALE-013

Guides de réponse aux incidents

• Guide de la CISA - Vidage mémoire et recherche de compromission
• Rapport d'analyse des logiciels malveillants RayInitiator et LINE VIPER (NCSC-UK)
• Compromission d'un équipement de bordure réseau - Qualification (CERTFR-2025-RFX-001)
• Compromission d'un équipement de bordure réseau - Endiguement (CERTFR-2025-RFX-002)

Références CVE

• CVE-2025-20333
• CVE-2025-20362

Conclusion

Les vulnérabilités CVE-2025-20333 et CVE-2025-20362 dans Cisco ASA et FTD sont des failles de sécurité critiques avec des exploitations actives confirmées. Tous les équipements affectés doivent être mis à jour immédiatement ou déconnectés d'Internet si aucune mise à jour n'est disponible.

Points clés à retenir :

• ✅ Exploitations actives confirmées depuis septembre 2025
• ✅ Codes d'exploitation publics disponibles depuis octobre 2025
• ✅ Nouvelle attaque DoS identifiée en novembre 2025
• ✅ Vérifications de compromission à effectuer avant toute mise à jour
• ✅ Rotation des secrets obligatoire en cas de compromission

Action immédiate :

Vérifiez vos équipements Cisco ASA et FTD, effectuez les vérifications de compromission, et mettez à jour sans délai vers les versions sécurisées.

Besoin d'aide pour sécuriser votre infrastructure réseau ? Découvrez notre service de **pentest web** pour identifier et corriger les vulnérabilités avant qu'elles ne soient exploitées.