كشفت شركة سيسكو عن تعرض اثنتين من ثغرات اليوم-صفر في خوادم الـVPN المدمجة ضمن Cisco Secure Firewall Adaptive Security Appliance (ASA) وCisco Secure Firewall Threat Defense (FTD) لهجمات نشطة في البرية، ما دفع وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) إلى إصدار توجيه طارئ لمعالجة الخطر.
تفاصيل الثغرتين المكتشفتين
أشارت سيسكو إلى ثغرتين خطيرتين:
-
CVE-2025-20333 بدرجة خطورة 9.9، تُمكّن مهاجمًا عن بُعد يمتلك بيانات دخول VPN صالحة من تنفيذ أوامر عشوائية بامتيازات الجذر عبر طلبات HTTP مصممة خصيصًا.
-
CVE-2025-20362 بدرجة خطورة 6.5، تتيح لمهاجم غير مصدَّق الوصول إلى نقاط URL محظورة عبر استغلال ضعف التحقق من المدخلات.
ورجّحت الشركة أن المهاجمين قد يدمجون بين الثغرتين لتجاوز آليات المصادقة وتنفيذ تعليمات ضارة على الأجهزة المستهدفة.
استجابة عاجلة من CISA وحلفائها
أعلنت CISA في تنبيه منفصل أنها أصدرت التوجيه الطارئ ED 25-03، ملزمةً الوكالات الفيدرالية بتحديد أي حالات اختراق محتملة وتحليلها والتخفيف من أثرها خلال 24 ساعة فقط. وأُضيفت الثغرتان أيضًا إلى كتالوج الثغرات المستغلّة فعليًا (KEV).
كما دعمت التحقيق جهات أمنية سيبرانية من أستراليا، كندا، والمملكة المتحدة، إلى جانب وكالة الأمن القومي الأميركية.
حملة ArcaneDoor وارتباطها بالهجوم
أكدت CISA أن الهجمات مرتبطة بعنقود تهديد يُعرف باسم ArcaneDoor، ونُسب إلى جهة تهديد متقدمة تحمل الاسم الرمزي UAT4356 (المعروفة أيضًا بـ Storm-1849). وقد سبق أن استهدفت هذه الجهة أجهزة شبكية محيطية من عدة شركات، مستخدمة برمجيات خبيثة مثل Line Runner وLine Dancer.
الأخطر أن المهاجمين أظهروا قدرة على تعديل ذاكرة ROM الخاصة بأجهزة ASA منذ عام 2024، ما يضمن بقاء البرمجيات الخبيثة حتى بعد إعادة التشغيل أو التحديثات، في تهديد يتجاوز حدود الاختراق العادي إلى مستوى التحكم العميق بالبنية التحتية.
