Kritiske nulldagssårbarheter i Cisco ASA og FTD Software
Nulldagssårbarhetene er tildelt CVE-2025-20333 [3], CVE-2025-20363 [4] og CVE-2025-20362 [5].
Cisco publiserte 25. september 2025 detaljer om flere nulldagssårbarheter i Cisco ASA og FTD Software som i verste fall kan la en uautentisert angriper fra Internett kjøre vilkårlig kode og installere bakdører på sårbare enheter [1]. Nulldagssårbarhetene er tildelt CVE-2025-20333 [3], CVE-2025-20363 [4] og CVE-2025-20362 [5].
Cisco er kun kjent med aktiv utnyttelse av Cisco ASA 5500-X-serien [1][6], men både Cisco ASA og Cisco FTD Software konfigurert som VPN-endepunkter (SSL VPN eller IKEv2 med "client services") er sårbare. NCSC viser til Ciscos varsler for fullstendig liste over sårbare produkter og konfigurasjoner [3][4][5].
NCSC anbefaler å installere nyeste sikkerhetsoppdateringer så snart det lar seg gjøre og følge anbefalingene fra Cisco [1]. Virksomheter som har hatt sårbare konfigurasjoner og/eller benytter Cisco ASA 5500-X-serien bør i tillegg til dette bekrefte/avkrefte utnyttelse [6] og gjennomføre hendelseshåndtering ved funn.
NCSC-UK har også publisert informasjon om aktiv utnyttelse av sårbarhetene for å plassere skadevarene RayInitiator og LINE VIPER på Cisco ASA 5500-X-enheter [7]. NCSC anbefaler virksomheter som har disse enhetene å gjøre undersøkelser basert på veiledningen i NCSC-UKs skadevarenalyse [8].
NCSC anbefaler virksomheter med behov for bistand å ta kontakt med det sektorvise responsmiljøet, Managed Security Service Provider (MSSP) eller NSMs kvalitetsordning for hendelseshåndtering.
Ved funn av RayInitiator eller LINE VIPER ønsker NCSC å bli varslet.
Referanser: