CISA警告联邦机构未完全修补正被积极利用的思科ASA或Firepower设备
网络安全和基础设施安全局(CISA)就联邦机构发布紧急警告,指出其未能正确修补思科自适应安全设备(ASA)和Firepower威胁防御(FTD)设备中正被积极利用的漏洞。
根据紧急指令25-03,CISA已确定两个对联邦信息系统构成不可接受风险的严重CVE:
| CVE ID | 漏洞类型 | 影响 |
|---|---|---|
| CVE-2025-20333 | 远程代码执行 | 允许未经身份验证的攻击者执行任意代码 |
| CVE-2025-20362 | 权限提升 | 允许经过身份验证的攻击者提升权限 |
关键思科设备的修补状态
在联邦民事执行分支(FCEB)机构中已检测到这些漏洞被积极利用。主要问题源于CISA在分析机构合规报告时的关键发现:
- 许多在官方报告模板中标记为"已修补"的设备,被发现仍在运行存在漏洞的过时软件版本
- 这种差异表明机构误解了修补要求或部署了不完整的更新
CISA强调,机构必须更新所有ASA和Firepower设备至最低要求的软件版本,而不仅仅是面向公众的设备。
易受攻击的软件版本包括:
- ASA版本9.12至9.22
- Firepower版本7.0至7.6
每个版本都需要特定的最低修补级别。
对于ASA设备,最低要求版本为: 9.12.4.72、9.14.4.28、9.16.4.85、9.18.4.67、9.20.4.10和9.22.2.14。ASA版本9.17和9.19需要迁移到受支持的版本。
Firepower设备必须至少运行: 7.0.8.1、7.2.10.2、7.4.2.4或7.6.2.1,具体取决于其当前版本。
紧急指令25-03要求在发布后48小时内部署修补程序。
运行面向公众的ASA硬件的机构必须在修补前执行CISA的核心转储和搜寻程序,并通过Malware Next Gen门户提交发现结果。
不合规的机构必须通过CyberScope重新提交ED 25-03合规报告。CISA将直接联系已识别的非合规机构,确保立即完成纠正措施。
此执法行动强调了在联邦网络所有设备类别中实施全面修补策略的至关重要性。
