聯邦機構面臨的網路威脅升級

美國網路安全和基礎設施安全局（CISA）針對思科自適應安全設備（ASA）和 Firepower 設備，已確認持續的網路威脅，這些威脅源於零日漏洞並持續透過重啟和升級操作進行利用。CISA發布了新的指南，旨在緩解這些零日漏洞構成的嚴重風險，並指示聯邦機構進行強制性的糾正性補丁更新。

美國網路安全和基礎設施安全局 (CISA) 已確認針對思科自適應安全設備 (ASA) 和 Firepower 設備的持續網路威脅，並發布了新的指南，其中提供了解決這些漏洞所需的最低軟體版本信息，並指示聯邦機構對不符合這些要求的設備進行糾正性補丁更新。CISA 此行動是基於其在九月份發布的《緊急指令 25-03》的延伸，該指令詳細說明了已知的漏洞，並要求立即採取緩解措施。

 

零日漏洞的不可接受風險與修補盲點

當時，CISA認定CVE-2025-20333（可實現遠端程式碼執行，RCE）和CVE-2025-20362（可實現權限提升）對聯邦系統構成不可接受的風險。這兩種漏洞的結合使得惡意行為者能夠從遠端控制設備並獲得更高的存取權限，對關鍵網路基礎設施造成毀滅性打擊。

然而，CISA實施指南詳細指出：“在CISA對各機構報告的數據進行分析後，CISA發現一些設備在報告模板中被標記為‘已打補丁’，但這些設備更新到的軟體版本仍然容易受到ED中概述的威脅活動的影響。”這揭示了一個關鍵的修補盲點：許多組織誤以為已完成修補，但實際上更新到了錯誤的版本，導致漏洞持續暴露在攻擊風險之下。CISA因此強調，機構必須核實所應用的更新是否正確，並且需將所有思科ASA和Firepower設備（而不僅限於面向公眾的設備）更新到最新的補丁，以避免被利用。

 

關鍵修復版本與舊版設備的挑戰

為了填補這些修補盲點，CISA的實施指南明確提供了所需的最低軟體版本資訊。這些修復版本旨在解決持續被主動利用的威脅活動，並確保設備達到最低安全要求。

實施指南指出，軟體版本 9.12 和 9.14 的修復版本未在 Cisco 軟體檢查工具中列出，但可透過特定連結存取。 Cisco Secure ASA 軟體版本 9.12 的修復版本為 9.12.4.72，可透過 Cisco 特別版本下載取得。同樣，Cisco Secure ASA 軟體版本 9.14 的修復版本為 9.14.4.28，也可透過 Cisco 特別版本下載取得。

這些修復措施的實施，同時也涵蓋了一些即將或已達「最後支援日期」（Last Date of Support, LDOS）的舊型號設備：這適用於 5512-X 和 5515-X，它們的最後支援日期為 2022 年 8 月 31 日；5525-X、5545-X 和 5555-X，它們的最後支援日期為 2025 年 9 月 30 日；以及 5585-X，其最後支援日期為 2023 年 5 月 31 日。對於這些設備，即使已達LDOS，CISA的指令仍要求緊急更新，凸顯了零日漏洞的跨世代威脅。

 

網路安全防禦的廣泛警示與建議

此次CISA的緊急指令不僅關乎ASA和Firepower設備，更反映了高級威脅行為者（Sophisticated Threat Actors）正將目標鎖定在關鍵的身份和網路存取控制基礎設施上。與CISA指令發布同時，Amazon的威脅情報團隊也偵測到另一起針對Cisco Identity Services Engine (ISE)和Citrix系統的複雜攻擊活動，其特徵是利用預先認證（pre-authentication）漏洞來獲得管理員級別的存取權限。

這些事件再次證明，即使是配置完善的系統也可能因零日漏洞而受到影響。這強調了安全團隊必須保持高度警惕，實施縱深防禦（Defense-in-Depth）策略，並建立強大的偵測能力來識別異常行為模式。CISA要求聯邦機構在釋出補丁後的48小時內完成更新，突顯了網路安全行動的即時性和緊迫性。對於所有組織而言，應將限制對特權安全設備端點（如管理門戶）的訪問視為首要任務，透過防火牆或分層訪問控制來減少攻擊面。

總體而言，CISA的指南是對所有組織的嚴肅提醒，即合規性與實際的防禦韌性之間存在差異。面對零日漏洞和主動攻擊的威脅，僅僅標記為「已打補丁」遠遠不夠，必須確保應用了正確且最新的修復版本，以堅守對病患安全、數據隱私和營運韌性的承諾。

資料來源：https://industrialcyber.co/cisa/cisa-urges-immediate-patching-of-cisco-asa-and-firepower-devices-due-to-active-zero-day-exploits/