報導摘要

思科（Cisco）的 Adaptive Security Appliance (ASA) 和 Firewall Threat Defense (FTD) 裝置正遭受兩項嚴重漏洞的積極利用，這些漏洞允許攻擊者在未經身份驗證的情況下遠端執行任意程式碼。儘管思科已發布修補程式，但全球仍有近五萬個裝置尚未更新，持續暴露於高風險中。美國網路安全與基礎設施安全局 (CISA) 已將此視為國家級緊急事件，要求聯邦機構立即採取行動。

漏洞詳情與威脅範圍

威脅監控服務 Shadowserver Foundation 報告稱，其掃描發現超過 48,800 個暴露在互聯網上的 ASA 和 FTD 實例仍然容易受到 CVE-2025-20333 和 CVE-2025-20362 的攻擊。思科在9月25日警告稱，在補丁發布之前，攻擊者就開始利用這些問題進行攻擊。這兩個漏洞可導致任意程式碼執行以及存取與 VPN 存取相關的受限 URL 端點，攻擊者無需身份驗證即可遠端利用這兩個安全漏洞。

這項未修補裝置的全球暴露情況令人擔憂：大多數 IP 位於美國（超過 19,200 個端點），其次是英國（2,800 個）、日本（2,300 個）、德國（2,200 個）、俄羅斯（2,100 個）、加拿大（1,500 個）和丹麥（1,200 個）。這顯示出全球對於持續性漏洞利用活動的反應速度不足。根據英國國家網路安全中心（NCSC）的報告，駭客在攻擊中部署了名為「Line Viper」的 Shellcode 載入器惡意軟體，隨後是名為「RayInitiator」的 GRUB bootkit，顯示攻擊鏈已相當成熟且具備持久性。

應對與建議措施

這兩個漏洞帶來的風險非常嚴重，以至於美國網路安全和基礎設施安全局 (CISA) 發布了一項緊急指令 ，要求所有聯邦民事行政部門 (FCEB) 機構在 24 小時內識別網路上任何受到威脅的思科 ASA 和 FTD 實例，並升級那些仍在使用的實例。CISA 還建議，對於達到服務終止（EoS）的 ASA 裝置應立即從聯邦組織網路中斷開。

雖然這兩個缺陷都沒有解決方法（Workarounds），但臨時強化措施可能包括限制 VPN 網路介面暴露以及增加對可疑 VPN 登入和精心設計的 HTTP 請求的日誌記錄和監控。鑑於主動利用已持續超過一週，所有系統管理員都被強烈敦促盡快依照思科針對 CVE-2025-20333 和 CVE-2025-20362 提供的修補建議採取行動，以防止關鍵系統遭受入侵。

資料來源：https://www.bleepingcomputer.com/news/security/nearly-50-000-cisco-firewalls-vulnerable-to-actively-exploited-flaws/