CERTFR-2025-ALE-013
Vulnerability from certfr_alerte

[Mise à jour du 06 octobre 2025]

Le CERT-FR a connaissance de codes d'exploitation publics.

[Publication initiale]

Le 25 septembre 2025, Cisco a publié plusieurs avis de sécurité, un billet de blogue ainsi qu'un guide de détection concernant des vulnérabilités affectant le serveur VPN Web de Adaptive Security Appliance (ASA) et Secure Firewall Threat Defense (FTD).

La vulnérabilité CVE-2025-20362 permet à un attaquant de contourner l'authentification pour accéder à des ressources protégées.
La vulnérabilité CVE-2025-20333 permet à un attaquant authentifié d'exécuter du code arbitraire à distance.

Exploitées conjointement, celles-ci permettent à un attaquant non authentifié de prendre la main sur une machine vulnérable.

Cisco indique que ces vulnérabilités sont activement exploitées.

Solutions

[Mise à jour du 26 septembre 2025]

Suite à plusieurs publications de la Cisa (dont [2]), le CERT-FR recommande d'effectuer les actions suivantes : - lancer la commande show checkheaps toutes les minutes pendant cinq minutes et sauvegarder les résultats sur un système tiers. Un exemple de résultat est présenté dans [1] ; * la valeur située dans la ligne Totale number of runs doit s'incrémenter au cours du temps. Si aucune évolution n'est constatée, cela indique une potentielle compromission ; - lancer la commande show tech-support detail et sauvegarder les résultats sur un système tiers ; - lancer la commande more /binary system:/text | grep 55534154 41554156 41575756 488bb3a0 et sauvegarder les résultats sur un système tiers ; * si cette commande retourne des résultats, cela indique une potentielle compromission ; - vérifier la quantité d'événements syslog 302013, 302014, 609002 et 71005 [1] et [2] car une diminution notable peut indiquer une potentielle compromission ; - à ce stade, si une compromission potentielle est détectée, envisager de déconnecter l'équipement d'Internet et signaler immédiatement l’événement auprès du CERT-FR qui vous indiquera la marche à suivre ; - si aucune compromission n'a été détectée jusque-là, effectuer la mise à jour de l'équipement si celle-ci est disponible ; * lors du processus de mise à jour, surveiller les messages affichés sur la console de l'équipement, conformément aux étapes présentées dans la section Bootloader and/or ROMMON Verification Failure de [1] ; - à l'issue de la mise à jour, chercher sur l'équipement la présence d'un fichier nommé firmware_update.log ; * en cas de présence de ce fichier, récupérer son contenu et sauvegarder les résultats sur un système tiers, cela indique une potentielle compromission , envisager alors de déconnecter l'équipement d'Internet et signaler l’événement auprès du CERT-FR qui vous indiquera la marche à suivre ; - effectuer une recherche de compromission et de latéralisation plus large, en utilisant les éléments suivants: * rechercher des connections VPN rapprochées avec des origines géographiques distantes [1] et [2] ; * rechercher les éléments présentés dans la section Step Two: Review Compromised Account Activityde [2] ; * rechercher des indicateurs de compromission en se basant sur les éléments présentés dans la section Rules and signatures de [3] ; * rechercher toutes traces de latéralisation sur le reste du système d’information, notamment : * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ; * puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion. * si vous trouvez des traces de latéralisation, contactez le CERT-FR ; - dans tous les cas, effectuer une rotation de l'ensemble des secrets et des éléments de configuration de l'équipement ainsi que de tous les secrets qui auraient pu transiter par cet équipement.

Si aucune mise à jour n'est disponible pour l'équipement, le CERT-FR recommande de le déconnecter d'Internet.

[Publication initiale]

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Dans l'attente de l'application des correctifs, Cisco recommande de désactiver les services VPN (IKEv2 et SSL VPN).

L'éditeur fournit également des renseignements pour tenter de détecter une compromission potentielle (cf. section Documentation).

Impacted products
Vendor Product Description
Cisco Firepower Threat Defense Firewall Threat Defense (FTD) versions 7.7.x antérieures à 7.7.10.1
Cisco Adaptive Security Appliance Adaptive Security Appliance (ASA) versions 9.17.x et 9.18.x antérieures à 9.18.4.67
Cisco Firepower Threat Defense Firewall Threat Defense (FTD) versions 7.3.x et 7.4.x antérieures à 7.4.2.4
Cisco Firepower Threat Defense Firewall Threat Defense (FTD) versions 7.6.x antérieures à 7.6.2.1
Cisco Adaptive Security Appliance Adaptive Security Appliance (ASA) versions 9.16.x antérieures à 9.16.4.85
Cisco Adaptive Security Appliance Adaptive Security Appliance (ASA) versions 9.19.x et 9.20.x antérieures à 9.20.4.10
Cisco Adaptive Security Appliance Adaptive Security Appliance (ASA) versions 9.12.x antérieures à 9.12.4.72
Cisco Adaptive Security Appliance Adaptive Security Appliance (ASA) versions 9.23.x antérieures à 9.23.1.19
Cisco Firepower Threat Defense Firewall Threat Defense (FTD) versions 7.0.x antérieures à 7.0.8.1
Cisco Adaptive Security Appliance Adaptive Security Appliance (ASA) versions 9.22.x antérieures à 9.22.2.14
Cisco Adaptive Security Appliance Adaptive Security Appliance (ASA) versions 9.14.x antérieures à 9.14.4.28
Cisco Firepower Threat Defense Firewall Threat Defense (FTD) versions 7.1.x et 7.2.x antérieures à 7.2.10.2
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Firewall Threat Defense (FTD) versions 7.7.x ant\u00e9rieures \u00e0 7.7.10.1",
      "product": {
        "name": "Firepower Threat Defense",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Adaptive Security Appliance (ASA) versions 9.17.x et 9.18.x ant\u00e9rieures \u00e0 9.18.4.67",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firewall Threat Defense (FTD) versions 7.3.x et 7.4.x ant\u00e9rieures \u00e0 7.4.2.4",
      "product": {
        "name": "Firepower Threat Defense",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firewall Threat Defense (FTD) versions 7.6.x ant\u00e9rieures \u00e0 7.6.2.1",
      "product": {
        "name": "Firepower Threat Defense",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Adaptive Security Appliance (ASA) versions 9.16.x ant\u00e9rieures \u00e0 9.16.4.85",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Adaptive Security Appliance (ASA) versions 9.19.x et 9.20.x ant\u00e9rieures \u00e0 9.20.4.10",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Adaptive Security Appliance (ASA) versions 9.12.x ant\u00e9rieures \u00e0 9.12.4.72",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Adaptive Security Appliance (ASA) versions 9.23.x ant\u00e9rieures \u00e0 9.23.1.19",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firewall Threat Defense (FTD) versions 7.0.x ant\u00e9rieures \u00e0 7.0.8.1",
      "product": {
        "name": "Firepower Threat Defense",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Adaptive Security Appliance (ASA) versions 9.22.x ant\u00e9rieures \u00e0 9.22.2.14",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Adaptive Security Appliance (ASA) versions 9.14.x ant\u00e9rieures \u00e0 9.14.4.28",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firewall Threat Defense (FTD) versions 7.1.x et 7.2.x ant\u00e9rieures \u00e0 7.2.10.2",
      "product": {
        "name": "Firepower Threat Defense",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": null,
  "content": "## Solutions\n\n**\u003cspan class=\"important-content\"\u003e[Mise \u00e0 jour du 26 septembre 2025]\u003c/span\u003e**\n\nSuite \u00e0 plusieurs publications de la Cisa (dont [2]), le CERT-FR recommande d\u0027effectuer les actions suivantes : \n- lancer la commande `show checkheaps` toutes les minutes pendant cinq minutes et sauvegarder les r\u00e9sultats sur un syst\u00e8me tiers. Un exemple de r\u00e9sultat est pr\u00e9sent\u00e9 dans [1] ;\n    * la valeur situ\u00e9e dans la ligne `Totale number of runs` doit s\u0027incr\u00e9menter au cours du temps. Si aucune \u00e9volution n\u0027est constat\u00e9e, cela indique une potentielle compromission ;\n- lancer la commande `show tech-support detail` et sauvegarder les r\u00e9sultats sur un syst\u00e8me tiers ;\n- lancer la commande `more /binary system:/text | grep 55534154 41554156 41575756 488bb3a0` et sauvegarder les r\u00e9sultats sur un syst\u00e8me tiers ;\n    * si cette commande retourne des r\u00e9sultats, cela indique une potentielle compromission ;\n- v\u00e9rifier la quantit\u00e9 d\u0027\u00e9v\u00e9nements syslog 302013, 302014, 609002 et 71005 [1] et [2] car une diminution notable peut indiquer une potentielle compromission ;\n- **\u00e0 ce stade, si une compromission potentielle est d\u00e9tect\u00e9e, envisager de d\u00e9connecter l\u0027\u00e9quipement d\u0027Internet et [signaler imm\u00e9diatement l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR](https://www.cert.ssi.gouv.fr/contact/) qui vous indiquera la marche \u00e0 suivre** ;\n- si aucune compromission n\u0027a \u00e9t\u00e9 d\u00e9tect\u00e9e jusque-l\u00e0, effectuer la mise \u00e0 jour de l\u0027\u00e9quipement si celle-ci est disponible ;\n    * lors du processus de mise \u00e0 jour, surveiller les messages affich\u00e9s sur la console de l\u0027\u00e9quipement, conform\u00e9ment aux \u00e9tapes pr\u00e9sent\u00e9es dans la section `Bootloader and/or ROMMON Verification Failure` de [1] ;\n- \u00e0 l\u0027issue de la mise \u00e0 jour, chercher sur l\u0027\u00e9quipement la pr\u00e9sence d\u0027un fichier nomm\u00e9 `firmware_update.log` ;\n    * en cas de pr\u00e9sence de ce fichier, r\u00e9cup\u00e9rer son contenu et sauvegarder les r\u00e9sultats sur un syst\u00e8me tiers, **cela indique une potentielle compromission , envisager alors de d\u00e9connecter l\u0027\u00e9quipement d\u0027Internet et [signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR](https://www.cert.ssi.gouv.fr/contact/) qui vous indiquera la marche \u00e0 suivre** ;\n- effectuer une recherche de compromission et de lat\u00e9ralisation plus large, en utilisant les \u00e9l\u00e9ments suivants:\n    * rechercher des connections VPN rapproch\u00e9es avec des origines g\u00e9ographiques distantes [1] et [2] ;\n    * rechercher les \u00e9l\u00e9ments pr\u00e9sent\u00e9s dans la section `Step Two: Review Compromised Account Activity`de [2] ;\n    * rechercher des indicateurs de compromission en se basant sur les \u00e9l\u00e9ments pr\u00e9sent\u00e9s dans la section `Rules and signatures` de [3] ;\n    * rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n        * en cherchant les connexions ou tentatives de connexion vers Internet depuis l\u0027\u00e9quipement ;\n        * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion.\n    * si vous trouvez des traces de lat\u00e9ralisation, [contactez le CERT-FR](https://www.cert.ssi.gouv.fr/contact/) ;\n- dans tous les cas, effectuer une rotation de l\u0027ensemble des secrets et des \u00e9l\u00e9ments de configuration de l\u0027\u00e9quipement ainsi que de tous les secrets qui auraient pu transiter par cet \u00e9quipement.\n\nSi aucune mise \u00e0 jour n\u0027est disponible pour l\u0027\u00e9quipement, le CERT-FR recommande de le d\u00e9connecter d\u0027Internet. \n\n**[Publication initiale]**\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).\n\nDans l\u0027attente de l\u0027application des correctifs, Cisco recommande de d\u00e9sactiver les services VPN (IKEv2 et SSL VPN).\n\nL\u0027\u00e9diteur fournit \u00e9galement des renseignements pour tenter de d\u00e9tecter une compromission potentielle (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2025-20333",
      "url": "https://www.cve.org/CVERecord?id=CVE-2025-20333"
    },
    {
      "name": "CVE-2025-20362",
      "url": "https://www.cve.org/CVERecord?id=CVE-2025-20362"
    }
  ],
  "initial_release_date": "2025-09-25T00:00:00",
  "last_revision_date": "2025-10-06T00:00:00",
  "links": [
    {
      "title": "[3] Rapport d\u0027analyse des logiciels malveillants RayInitiator et LINE VIPER du NCSC-UK",
      "url": "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf"
    },
    {
      "title": "Billet de blogue Cisco du 25 septembre 2025",
      "url": "https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks"
    },
    {
      "title": "Compromission d\u0027un \u00e9quipement de bordure r\u00e9seau - Endiguement",
      "url": "https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/"
    },
    {
      "title": "[1] Guide de d\u00e9tection Cisco du 25 septembre 2025",
      "url": "https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks"
    },
    {
      "title": "Compromission d\u0027un \u00e9quipement de bordure r\u00e9seau - Qualification",
      "url": "https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/"
    },
    {
      "title": "Avis CERT-FR CERTFR-2025-AVI-0819 du 25 septembre 2025",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0819/"
    },
    {
      "title": "[2] Guide de la CISA relatif \u00e0 la r\u00e9alisation d\u0027un vidage m\u00e9moire et de la recherche de compromission",
      "url": "https://www.cisa.gov/news-events/directives/supplemental-direction-ed-25-03-core-dump-and-hunt-instructions"
    }
  ],
  "reference": "CERTFR-2025-ALE-013",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2025-09-25T00:00:00.000000"
    },
    {
      "description": "Ajout d\u0027\u00e9l\u00e9ments pour la recherche de compromission",
      "revision_date": "2025-09-26T00:00:00.000000"
    },
    {
      "description": "Clarification des recommandations.",
      "revision_date": "2025-09-26T00:00:00.000000"
    },
    {
      "description": "Connaissance de codes d\u0027exploitation publics",
      "revision_date": "2025-10-06T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "**\u003cspan class=\"important-content\"\u003e[Mise \u00e0 jour du 06 octobre 2025]\u003c/span\u003e**\n\nLe CERT-FR a connaissance de codes d\u0027exploitation publics.\n\n**[Publication initiale]**\n\nLe 25 septembre 2025, Cisco a publi\u00e9 plusieurs avis de s\u00e9curit\u00e9, un billet de blogue ainsi qu\u0027un guide de d\u00e9tection concernant des vuln\u00e9rabilit\u00e9s affectant le serveur VPN Web de Adaptive Security Appliance (ASA) et Secure Firewall Threat Defense (FTD).\n\nLa vuln\u00e9rabilit\u00e9 CVE-2025-20362 permet \u00e0 un attaquant de contourner l\u0027authentification pour acc\u00e9der \u00e0 des ressources prot\u00e9g\u00e9es. \u003cbr /\u003e\nLa vuln\u00e9rabilit\u00e9 CVE-2025-20333 permet \u00e0 un attaquant authentifi\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance. \u003cbr /\u003e\n\nExploit\u00e9es conjointement, celles-ci permettent \u00e0 un attaquant non authentifi\u00e9 de prendre la main sur une machine vuln\u00e9rable.\n\nCisco indique que ces vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es.",
  "title": "[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Cisco ASA et FTD",
  "vendor_advisories": [
    {
      "published_at": "2025-09-25",
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-asaftd-webvpn-z5xP8EUB",
      "url": "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB"
    },
    {
      "published_at": "2025-09-25",
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-asaftd-webvpn-YROOTUW",
      "url": "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.