أطلقت شركة Cisco تحذيرًا عاجلًا لعملائها بضرورة تطبيق التحديثات الأمنية بعد اكتشاف واستغلال ثغرتين خطيرتين في خادم VPN ضمن كل من Cisco Secure Firewall Adaptive Security Appliance (ASA) وCisco Secure Firewall Threat Defense (FTD)، واللتين سمحتا للمهاجمين بتنفيذ تعليمات برمجية عن بُعد والتجاوز غير المصرح به للأنظمة.
تفاصيل الثغرات المكتشفة
-
CVE-2025-20333 (درجة خطورة 9.9): ضعف في التحقق من إدخالات المستخدم ضمن طلبات HTTP(S) يسمح للمهاجم المصادق ببيانات VPN صحيحة بتنفيذ تعليمات برمجية كجذر (root) عبر إرسال طلبات خبيثة مصممة بعناية.
-
CVE-2025-20362 (درجة خطورة 6.5): خلل مشابه في التحقق من إدخالات المستخدم، لكنه يتيح للمهاجم غير المصادق الوصول إلى روابط محمية دون الحاجة لتسجيل الدخول.
تشير التقديرات إلى أن المهاجمين قد يستخدمون التسلسل بين الثغرتين لتجاوز آليات التحقق ثم تنفيذ أوامر ضارة على الأجهزة المستهدفة.
استجابة عاجلة من CISA
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) التوجيه الطارئ ED 25-03، والذي يُلزم الوكالات الفيدرالية بتحديد وتحليل ومعالجة أي اختراقات محتملة فورًا، مع مهلة لا تتجاوز 24 ساعة لتطبيق الإجراءات التصحيحية.
وحذرت الوكالة من أن الحملة واسعة النطاق وتستغل الثغرات للحصول على تنفيذ أوامر عن بُعد بدون مصادقة، بالإضافة إلى التلاعب بذاكرة ROM في أجهزة ASA لضمان الاستمرارية حتى بعد إعادة التشغيل أو التحديثات، وهو ما يمثل خطرًا بالغًا على شبكات الضحايا.
ارتباط مع مجموعة ArcaneDoor
أشارت CISA إلى أن هذه الأنشطة مرتبطة بعنقود تهديد يُعرف باسم ArcaneDoor، والذي سبق وأن استهدف أجهزة الشبكات المحيطية لعدة شركات، بما في ذلك Cisco، مستخدمًا برمجيات خبيثة مثل Line Runner وLine Dancer. وقد نُسب النشاط إلى جهة تهديد تُدعى UAT4356 (المعروفة أيضًا باسم Storm-1849)، التي أظهرت قدرة على تعديل ROM في أجهزة ASA منذ عام 2024.
التوصيات
-
الإسراع بتطبيق تحديثات Cisco الأخيرة.
-
فحص أنظمة ASA وFTD بحثًا عن أي نشاط غير معتاد.
-
مراقبة مؤشرات الاختراق (IOCs) المرتبطة بـ ArcaneDoor وUAT4356.
-
تنفيذ سياسات دفاع متعمقة تشمل المراقبة المستمرة وحماية الذاكرة الثابتة (ROM).
