思科 ASA 和 FTD 安全设备存在多个漏洞预警
1、基本情况
Cisco FTD(Firepower Threat Defense)和 Cisco ASA(Adaptive Security Appliance)是思科的两款网络安全平台,核心区别在于功能定位与技术架构:ASA 作为传统防火墙,专注于基础状态检测、VPN 及网络地址转换(NAT),适合需要稳定防火墙和 VPN 功能的中小型环境。
FTD 整合了 ASA 的防火墙能力与 Sourcefire 的高级威胁防护(如 NGIPS、恶意软件检测),提供应用层控制及威胁情报,适用于需全面安全防护的中大型企业。两者硬件兼容但系统不同,部分设备(如 Firepower 1000 系列)支持通过固件切换操作系统。
近日,监测发现思科 AdaptiveSecurityAppliance(简称 ASA)自适应安全设备和 FirewallThreatDefense(简称 FTD)威胁防御设备管理器存在多个漏洞,攻击者可利用漏洞构造恶意请求获取最高 root权限,造成拒绝服务、执行任意代码等危害,甚至设备完全失控。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、漏洞详情
CVE-2025-20362:身份验证绕过漏洞
HTTP(S)请求中用户提供的输入验证不当漏洞,该漏洞可能允许未经身份验证的远程攻击者通过发送精心设计的 HTTP 请求来访问受限的 URL 端点而无需身份验证。
CVE-2025-20333:缓冲区溢出远程代码执行漏洞
HTTP(S)请求中用户提供的输入验证不当漏洞,该漏洞可能允许具有有效 VPN 用户凭据的经过身份验证的远程攻击者通过发送精心设计的 HTTP 请求,在受影响的设备上以 root 身份执行任意代码。
3、影响范围
受影响版本
⚫ Cisco ASA 9.8.x-9.22.x
⚫ Cisco FTD 6.2.x-7.6.x
4、处置建议
官方已发布安全补丁,请及时下载安装最新版本补丁。
下载地址:https://software.cisco.com/
5、参考链接
1) https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB