警惕！思科揭示新型攻击变种已对防火墙构成威胁六个月

思科警告客户，针对其防火墙的攻击又出现了一波，这些防火墙在过去至少六个月里一直受到入侵者的攻击。它还修复了统一联络中心快递（UCCX）软件中的两个关键漏洞，这些漏洞目前尚未被积极利用 - 但……

“在2025年11月5日，思科发现了一种针对运行思科安全ASA软件或思科安全FTD软件的新攻击变种，这些版本受到了CVE-2025-20333和CVE-2025-20362的影响，”Netzilla在周四的安全公告中指出。

这些新攻击导致未修补的防火墙不断重启，造成拒绝服务的情况，并且是自5月以来针对易受攻击设备的一系列攻击中的最新一次。

思科最初在9月份修复了这两个漏洞，英国国家网络安全中心和美国网络安全与基础设施安全局对此发出了警报，称“高级威胁行为者”正在利用这些漏洞，受害者中包括至少一个美国政府机构。

根据周四的公告，思科在五月开始与“多个向政府组织提供事件响应服务的政府机构”合作，调查这些攻击，这些攻击用于部署恶意软件、执行恶意命令，并且“可能”窃取受损设备中的数据。

公司还“专门成立了一支全职团队来进行这项调查，并与少数受影响的客户紧密合作。”

根据通知，通知中提到，攻击者被观察到利用多个零日漏洞，并采用了先进的规避技术，比如禁用日志记录、拦截CLI命令，以及故意使设备崩溃以阻止诊断分析。

在某些情况下，攻击者修改了思科的引导程序 ROM Monitor (ROMmon)，以便在重启和软件升级后仍能保持持久性。

思科以及美国和英国政府机构将早期的攻击行为及其“新变种”与一个受到政府支持的威胁团队联系在一起，该团队与 ArcaneDoor 攻击有关。这些攻击首次被曝光是在2024年4月，当时思科修补了 ASA 和 FTD 防火墙中的两个零日漏洞，这些漏洞已经被利用以入侵政府和电信网络。思科将这一活动归咎于一个名为 UAT4356 的威胁团队。

自2024年以来，思科一直拒绝将这起恶意活动归咎于任何特定国家，比如俄罗斯或中国。一位发言人拒绝回答《注册》关于新一波攻击的问题，并在邮件中重申了周四发布的安全警报。

同样在周四，这家网络公司披露了其联络中心软件Unified CCX中的两个关键安全漏洞，允许远程未经身份验证的攻击者上传任意文件、以root权限执行命令，或绕过身份验证以非root用户身份运行脚本。

这些漏洞被追踪为CVE-2025-20354和CVE-2025-20358，无论设备配置如何，都会影响Cisco Unified CCX。供应商建议客户升级到修复软件版本（12.5 SU3 ES07或15.0 ES01）以修复漏洞。

CVE-2025-20354是Cisco Unified CCX的Java远程方法调用（RMI）过程中的一个9.8分的漏洞，这是由于身份验证机制不当。

“根据安全警报，攻击者可以通过 Java RMI 过程向受影响的系统上传一个特制的文件，从而利用此漏洞。成功利用该漏洞可能使攻击者在底层操作系统上执行任意命令，并提升权限至 root。”

CVE-2025-20358是该产品中的一个身份验证绕过漏洞，获得了9.4的关键CVSS评分。这是因为 CCX 编辑器与统一 CCX 服务器之间的身份验证存在问题。“攻击者可以通过将身份验证流程重定向到恶意服务器，并欺骗 CCX 编辑器相信身份验证成功，从而利用此漏洞，”该公告表示。

利用这个漏洞，不法分子可以作为内部非 root 用户在底层操作系统上执行任意脚本。