Kriittisiä Cisco ASA- ja FTD-haavoittuvuuksia käytetään hyväksi hyökkäyksissä | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittisiä Cisco ASA- ja FTD-haavoittuvuuksia käytetään hyväksi hyökkäyksissä

26. syyskuuta 2025 klo 10.14, päivitetty 24. huhtikuuta 2026 klo 13.37

Cisco on julkaissut korjauspäivitykset kolmeen vakavaan haavoittuvuuteen Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) -tuotteissa. Haavoittuvuudet mahdollistavat muun muassa mielivaltaisen koodin ajamisen etänä. Haavoittuvuuksia käytetään aktiivisesti hyväksi. Haavoittuva järjestelmä on syytä päivittää välittömästi ja tutkia tuotteet mahdollisten tietomurtojen varalta. Pelkkä päivittäminen ei riitä hyökkäyskoodin poistamiseen järjestelmistä.

Haavoittuvuuden yhteenveto

  • Haavoittuvuus: 19/2025
  • Vakavuus: 9.9 CVSS-asteikolla (Kriittinen haavoittuvuus)

Haavoittuvuuden kohde

Cisco Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) -tuotteet. Katso tarkemmat versiotiedot Ciscon tiedotteista.

Mistä on kysymys?

  • CVE-2025-20333: Muistin ylivuotohaavoittuvuus, joka mahdollistaa tunnistautuneelle käyttäjälle mielivaltaisen koodin ajamisen etänä.
  • CVE-2025-20363: Muistin ylivuotohaavoittuvuus, joka mahdollistaa mielivaltaisen koodin ajamisen etänä.
  • CVE-2025-20362: Pääsynhallinnan ohittamisen mahdollistava haavoittuvuus.

Mitä voin tehdä?

Valmistaja kehottaa asiakkaita asentamaan kyseiset päivitetyt versiot mahdollisimman pian.
Kyberturvallisuuskeskus suosittelee asentamaan päivitykset heti, kun mahdollista. Kyberturvallisuuskeskus on lähettänyt haavoittuvuudesta viestejä sadoille kotimaisille organisaatioille, joilla on mahdollisesti käytössään haavoittuva versio tuotteesta.

Haavoittuvuuksia käytetään aktiivisesti hyväksi. Haavoittuvat tuotteet kannattaa tutkia mahdollisten tietomurtojen varalta. Ainakin osa havaituista hyökkäyksistä sisältää käynnistyksen aikaisen komponentin, joka ei poistu päivityksen yhteydessä. Tämä korostaa tuotteiden tutkinnan tärkeyttä.

Cisco on julkaissut hyökkäyskampanjaa kuvaavan tiedotteen ja ohjeet tuotteiden tutkimiseksi.

Yhdysvaltojen tietoturvavirasto CISA on julkistanut yksityiskohtaisemmat ohjeet Cisco ASA -tietomurtojen tutkintaan.

Iso-Britannian kyberturvallisuuskeskus NCSC-UK on julkaissut raportin (pdf) hyökkäysten yhteydessä havaituista haittaohjelmista.

Uutta 24.4.2026: Yhdysvaltain kyberturvallisuus- ja infrastruktuurivirasto CISA (Cybersecurity and Infrastructure Security Agency) julkaisi päivityksen tiedotteeseen, joka koskee Cisco Secure Firewall Adaptive Security Appliance (ASA)‑ ja Cisco Secure Firewall Threat Defense (FTD) ‑tuotteita.

V1: Emergency Directive (ED) 25-03: Identify and Mitigate Potential Compromise of Cisco Devices (cisco.gov, englanti)

Päivityksen mukaan ArcaneDoor-uhkatoimija on kehittänyt aiemmin tuntemattoman pysyvyysmekanismin, joka säilyy myös päivitettäessä korjattuihin versioihin, jotka julkaistiin syyskuussa 2025. Tämä pysyvyysmekanismi sijaitsee Cisco Firepower eXtensible Operating System (FXOS) ‑ohjelmiston peruskäyttöjärjestelmässä Cisco Secure Firewall ASA‑ ja Cisco Secure FTD ‑ohjelmistojen asennuksissa niillä laitteistoalustoilla, joita haavoittuvuus koskee.

Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense (cisco.com, englanti)
UAT-4356's Targeting of Cisco Firepower Devices (talosintelligence.com, englanti)
FIRESTARTER Backdoor (cisa.gov, englanti)
17. lokakuuta 2025 klo 17.21 Lisätty kommentti Kyberturvallisuuskeskuksen lähettämistä viesteistä haavoittuvuuteen liittyen