Selon The Hacker News, Cisco alerte ses clients sur l’exploitation en cours de deux vulnérabilités zero-day touchant ses appliances Adaptive Security Appliance (ASA) et Threat Defense (FTD), et l’agence américaine CISA a émis une directive d’urgence pour imposer des mesures de mitigation immédiates. The Hacker News+2Cisco+2
Détails des vulnérabilités
Les deux failles identifiées sont :
CVE-2025-20333 (CVSS 9.9) : une faille de validation incorrecte d’entrées utilisateur dans les requêtes HTTP(S). Un attaquant authentifié (ayant des identifiants VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN valides) pourrait exécuter du code arbitraire en tant qu’root sur l’appareil vulnérable.
CVE-2025-20362 (CVSS 6.5) : une faille de validation d’entrées malveillantes dans les requêtes HTTP(S) qui permet à un attaquant non authentifié d’accéder à des points de terminaison protégés sans authentification.
Cisco affirme être conscient de tentatives d’exploitation de ces failles, bien qu’il n’ait pas divulgué l’ampleur exacte des attaques ni l’identité des acteurs derrière ces actions.
Directive d’urgence de CISA et mesures imposées
Face à cette menace active, la Cybersecurity and Infrastructure Security Agency (CISA) a publié la Directive d’Urgence ED 25-03, demandant aux agences fédérales de :
Identifier les appareils ASA/FTD de leur parc.
Vérifier s’il existe des compromissions ou tentatives d’exploitation.
Appliquer immédiatement les correctifs disponibles ou, à défaut, déconnecter les dispositifs vulnérables.
Pour les appliances en fin de support (EoS), les retirer ou remplacer immédiatement.
La directive fixe une échéance stricte : les dispositifs vulnérables doivent être mis à jour ou retirés avant le 26 septembre 2025 à 23h59 EST.
Liens avec des campagnes antérieures — le groupe ArcaneDoor
Cisco estime avec un haut degré de confiance que l’attaque actuelle est liée au groupe ArcaneDoor, déjà identifié dans des campagnes d’espionnage antérieures visant des appliances réseau.
Les chercheurs mettent en lumière des techniques sophistiquées utilisées par les attaquants, telles que :
Modification du ROM de l’appareil pour persister après redémarrage ou mises à jour.
Chaining des failles (c.-à-d. exploiter les deux vulnérabilités successivement) pour bypasser l’authentification.
Cisco note aussi que certaines appliances « plus anciennes » sans Secure Boot ni Trust Anchor sont particulièrement exposées.
Recommandations prioritaires pour les organisations
Pour limiter les risques, voici les actions à mettre en place immédiatement :
Appliquer les mises à jour / correctifs fournis par Cisco sur les versions impactées (ASA / FTD).
Déconnecter ou remplacer les unités en fin de support (EoS) ou ne supportant pas les fonctionnalités de sécurité modernes.
Surveiller activement les logs de l’ASA, notamment les erreurs d’authentification, les requêtes HTTP inhabituelles ou l’accès aux endpoints réservés.
Restreindre l’accès administratif à l’ASA (interfaces de gestion) à des réseaux internes ou via VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN contrôlés.
Mettre en place des mécanismes de sécurité de périmètre supplémentaires (IDS/IPS, filtrage d’URL, segmentation) pour limiter l’exposition.
Surveiller les firmwares, et vérifier que les modifications non autorisées (notamment en ROM) n’ont pas été injectées.