網路巨頭思科（Cisco）近期發布了緊急安全警示，指出其防火牆產品中存在的兩個嚴重零時差漏洞，在被用於複雜的攻擊後，現又被濫用於更直接且具破壞性的阻斷服務（DoS）攻擊。這場資安風暴的核心在於思科 ASA（Adaptive Security Appliance）和 FTD（Firepower Threat Defense）防火牆，這些設備對於全球企業和政府機構的網路邊界安全至關重要。攻擊者正利用這些漏洞迫使受影響的防火牆進入連續的重啟循環，導致網路服務徹底中斷。這種從複雜的遠端程式碼執行（RCE）攻擊轉向簡單的 DoS 攻擊，顯示威脅行為者正在尋求更廣泛且快速的破壞性影響，可能針對更多未修補的目標設備。

思科本週發出警告，目前有兩個漏洞正被用於零時差攻擊，以迫使 ASA 和 FTD 防火牆進入重啟循環。這家科技巨頭於 9 月 25 日發布了安全更新 ，以解決這兩個安全漏洞。他們表示，CVE-2025-20362 允許遠端威脅行為者在未經身份驗證的情況下存取受限 URL 端點，而 CVE-2025-20333 允許經過身份驗證的攻擊者在易受攻擊的裝置上執行遠端程式碼。當這些漏洞相互關聯時，遠端的、未經身份驗證的攻擊者就能完全控制未打補丁的系統。威脅監控服務 Shadowserver 目前正在追蹤 超過 34,000 個暴露在網路上的 ASA 和 FTD 實例，這些實例 容易受到 CVE-2025-20333 和 CVE-2025-20362 攻擊，而 9 月發現的未修補防火牆數量接近 50,000 個。思科發言人本週告訴BleepingComputer：「思科先前披露了某些運行思科安全防火牆ASA軟體並啟用VPN Web服務的思科ASA 5500-X設備中存在的新漏洞，這些漏洞是與多個政府機構合作發現的。我們認為這些攻擊與2024年ArcaneDoor攻擊活動出自同一國家支持的組織，並敦促客戶應用可用的軟體修復程式」。

思科最初在九月份修補了這兩個漏洞，當時美國網路安全和基礎設施安全局（CISA）甚至發布了緊急指令，要求美國聯邦機構在 24 小時內採取行動，修復這些思科防火牆設備，並將已達支援終止（EoS）階段的 ASA 設備從聯邦組織網路中斷開。這項命令突顯了這些漏洞的極端嚴重性。

從漏洞的技術角度來看，CVE-2025-20362 允許未經身份驗證的遠端攻擊者訪問受限的 URL 端點，而 CVE-2025-20333 則允許經過身份驗證的攻擊者執行遠端程式碼。當這兩個漏洞串聯使用時，可讓遠端且未經身份驗證的攻擊者完全接管未修補的系統，實現最高級別的入侵。然而，最新的攻擊變體在 2025 年 11 月 5 日被發現，針對運行受這些相同漏洞影響的 Cisco Secure ASA Software 或 Cisco Secure FTD Software 版本的設備。這種新的攻擊變體旨在導致未修補的設備意外重載，從而引發拒絕服務（DoS）狀況。這種重啟循環有效地癱瘓了受影響的防火牆，導致其保護的網路服務全面中斷。

思科將這次攻擊與 2024 年的「ArcaneDoor」攻擊活動聯繫起來，將幕後黑手歸因於與 ArcaneDoor 攻擊活動相同的國家支持組織。ArcaneDoor 行動利用了思科防火牆中的另外兩個零時差錯誤（CVE-2024-20353 和 CVE-2024-20359），從 2023 年 11 月開始，對全球的政府網路進行了入侵。ArcaneDoor 攻擊背後的威脅組織 UAT4356（微軟追蹤為 STORM-1849）部署了名為 Line Dancer 的記憶體內 Shellcode 載入器和 Line Runner 後門惡意軟體，以維持對受損系統的持久控制。

儘管思科在 9 月 25 日修復了另一個未與上述兩者直接相關的嚴重漏洞（CVE-2025-20363），該漏洞允許未經身份驗證的威脅行為者遠端執行任意程式碼，但其產品安全事件響應團隊（PSIRT）當時表示並不知曉有任何公開公告或惡意使用。此後，攻擊者也開始利用另一個最近修補的 RCE 漏洞（CVE-2025-20352）在未受保護的 Linux 設備上部署 Rootkit 惡意軟體。最近，思科又修補了其 Contact Center 軟體中的關鍵安全漏洞，這些漏洞可能導致攻擊者繞過身份驗證（CVE-2025-20358）並以 Root 權限執行命令（CVE-2025-20354）。Shadowserver 的追蹤數據顯示，儘管未修補的實例數量從 9 月的近 50,000 個有所下降，但仍有超過 34,000 個暴露於網路的 ASA 和 FTD 實例容易受到這些新舊攻擊的威脅。思科強烈建議所有客戶立即升級到安全公告中概述的軟體修復版本，這是避免服務中斷和更嚴重入侵的唯一途徑。

資料來源：https://www.bleepingcomputer.com/news/security/cisco-actively-exploited-firewall-flaws-now-abused-for-dos-attacks/