Проверьте свои CISCO ASA немедленно. Ваша сеть уже может быть захвачена

Крупнейшие агентства по всему миру предупредили о критической угрозе для сетевой инфраструктуры: уязвимости в Cisco Adaptive Security Appliances (ASA) и Firepower оказались под шквалом атак. Поводом стало распоряжение Агентства по кибербезопасности и инфраструктурной безопасности США (CISA), выпустившего «экстренную директиву 25-03», требующую от всех федеральных гражданских ведомств срочно проверить и обезопасить свои устройства, чтобы остановить масштабную кампанию злоумышленников.

Инцидент связан с использованием сразу нескольких ранее неизвестных ошибок в системах Cisco, которые позволяют удалённо запускать произвольный код без авторизации и даже изменять ROM для сохранения контроля после перезагрузки и обновлений. Под удар попали как ASA, так и Firepower Threat Defense.

Сама Cisco связывает атаку с кампанией ArcaneDoor, впервые зафиксированной ещё в 2024 году. При этом часть современных Firepower-защит имеет механизм Secure Boot, способный выявлять вмешательство, однако значительное число ASA остаётся полностью уязвимым.

Ситуация вызвала резонанс далеко за пределами США. Национальное агентство Франции CERT-FR опубликовало бюллетень CERTFR-2025-ALE-013, подтвердив, что эксплуатируются уязвимости CVE-2025-20333 и CVE-2025-20362 в разных версиях ASA и FTD. Австралийский центр кибербезопасности ACSC рекомендовал владельцам ASA 5500-X отключить IKEv2 и SSL VPN до выхода исправлений. Канадский центр кибербезопасности предупредил о глобальном распространении сложного вредоносного ПО, которое особенно опасно для устройств, снятых с поддержки.

Директива 25-03 детально регламентирует действия американских ведомств. До конца сентября организации должны передать дампы памяти всех публично доступных ASA в CISA, отключить и зафиксировать любые скомпрометированные устройства, обновить всё программное обеспечение и начать вывод из эксплуатации оборудования, у которого срок поддержки истекает 30 сентября 2025 года.

Для моделей с окончанием поддержки в августе 2026 года предписывается установка любых обновлений в течение 48 часов после публикации. До 2 октября 2025 года все структуры обязаны предоставить CISA полный отчёт о состоянии и предпринятых мерах.

Эти требования касаются не только оборудования, находящегося непосредственно у федеральных ведомств, но и инфраструктуры в сторонних и облачных сервисах, включая FedRAMP-провайдеров. Агентства остаются ответственными за соблюдение предписаний в любых средах. Тем, кто не располагает необходимыми техническими ресурсами, CISA предложило помощь специалистов.

В дальнейшем отчёт об исполнении директивы поступит к 1 февраля 2026 года в Министерство внутренней безопасности США, к национальному директору по киберполитике, в OMB и офис федерального CISO. При этом частным и зарубежным компаниям также настоятельно советуют выполнить те же шаги по сбору дампов и поиску компрометации, чтобы выявить возможные признаки эксплуатации.

Таким образом, под угрозой оказалась вся экосистема Cisco ASA, включая устаревшие модели, которые не получают обновлений. Международные предупреждения подчёркивают, что речь идёт о действительно масштабной глобальной атаке, способной вывести из строя критически важные системы, если не принять меры немедленно.