Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilités critiques dans Cisco ASA et FTD

Score CVSS :
9.9
Date de publication :
25/9/2025
Date de dernière mise à jour :
26/9/2025
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Adaptive Security Appliance (ASA) versions 9.12.x antérieures à 9.12.4.72

• Adaptive Security Appliance (ASA) versions 9.14.x antérieures à 9.14.4.28

• Adaptive Security Appliance (ASA) versions 9.16.x antérieures à 9.16.4.85

• Adaptive Security Appliance (ASA) versions 9.17.x et 9.18.x antérieures à 9.18.4.67

• Adaptive Security Appliance (ASA) versions 9.19.x et 9.20.x antérieures à 9.20.4.10

• Adaptive Security Appliance (ASA) versions 9.22.x antérieures à 9.22.2.14

• Adaptive Security Appliance (ASA) versions 9.23.x antérieures à 9.23.1.19

• Firewall Threat Defense (FTD) versions 7.0.x antérieures à 7.0.8.1

• Firewall Threat Defense (FTD) versions 7.1.x et 7.2.x antérieures à 7.2.10.2

• Firewall Threat Defense (FTD) versions 7.3.x et 7.4.x antérieures à 7.4.2.4

• Firewall Threat Defense (FTD) versions 7.6.x antérieures à 7.6.2.1

• Firewall Threat Defense (FTD) versions 7.7.x antérieures à 7.7.10.1

Prérequis

• Serveur VPN actif (IKEv2 et SSL VPN)

Risques

• Exécution de code arbitraire

• Compromission de l’équipement réseau

• Accès au réseau interne de l’entreprise

Résumé

Cisco a publié plusieurs avis de sécurité sur des vulnérabilités critiques affectant les solutions Cisco Adaptive Security Appliance (ASA) et Cisco Firewall Threat Defense (FTD).

- CVE-2025-20362 (Score CVSS 3.1 : 6.5) : Une vulnérabilité dans le serveur web VPN de Cisco ASA et Cisco FTD pourrait permettre à un attaquant distant non authentifié d’accéder à des URLs qui devraient être inaccessibles pour des utilisateurs non authentifiés.

- CVE-2025-20333 (Score CVSS 3.1 : 9.9) : Une vulnérabilité dans le serveur web VPN de Cisco ASA et Cisco FTD pourrait permettre à un attaquant authentifié d'exécuter du code arbitraire sur l’équipement en tant que root.

Ces deux vulnérabilités, dues à une mauvaise validation de l’entrée utilisateur dans les requêtes HTTP(S), pourraient permettre, une fois chainées, à un attaquant non authentifié de compromettre complètement l’équipement vulnérable. Il pourrait par la suite poursuivre son attaque sur le réseau interne de l’entreprise.

Cisco déclare avoir détecté des traces d’exploitation par des groupes d’attaquants. Aucun exploit n’est disponible en source ouverte.Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Dans l'attente de l'application des correctifs, Cisco recommande de désactiver les services VPN (IKEv2 et SSL VPN).

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vous pouvez:

  • lancer la commande show checkheaps toutes les minutes pendant cinq minutes et sauvegarder les résultats sur un système tiers.

    • la valeur située dans la ligne Totale number of runs doit s'incrémenter au cours du temps. Si aucune évolution n'est constatée, cela indique une potentielle compromission ;

    • • lancer la commande show tech-support detail et sauvegarder les résultats sur un système tiers ;

  • lancer la commande more /binary system:/text | grep 55534154 41554156 41575756 488bb3a0 et sauvegarder les résultats sur un système tiers ;

    • si cette commande retourne des résultats, cela indique une potentielle compromission ;

  • effectuer une recherche de compromission et de latéralisation plus large, en utilisant les éléments suivants:

    • vérifier l'absence de diminution notable de la quantité d'événements syslog 302013, 302014, 609002 et 71005;

    • rechercher des connections VPN rapprochées avec des origines géographiques distantes;

  • rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :

    • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement;

    • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.

    • • dans tous les cas, effectuer une rotation de l'ensemble des secrets et des éléments de configuration de l'équipement ainsi que de tous les secrets qui auraient pu transiter par cet équipement.

    Remédiation :

    Mettre à jour vers une des versions suivantes :

    • Adaptive Security Appliance (ASA) version 9.12.4.72

    • Adaptive Security Appliance (ASA) version 9.14.4.28

    • Adaptive Security Appliance (ASA) version 9.16.4.85

    • Adaptive Security Appliance (ASA) version 9.18.4.67

    • Adaptive Security Appliance (ASA) version 9.20.4.10

    • Adaptive Security Appliance (ASA) version 9.22.2.14

    • Adaptive Security Appliance (ASA) version 9.23.1.19

    • Firewall Threat Defense (FTD) version 7.0.8.1

    • Firewall Threat Defense (FTD) version 7.2.10.2

    • Firewall Threat Defense (FTD) version 7.4.2.4

    • Firewall Threat Defense (FTD) version 7.6.2.1

    • Firewall Threat Defense (FTD) version 7.7.10.1

    Cisco fournit un outil pour aider à déterminer vers quelle version mettre à jour selon la version actuelle :

    https://sec.cloudapps.cisco.com/security/center/softwarechecker.x

    Mitigation :

    Cisco informe qu’aucun moyen de mitigation n’est disponible

    Références

    https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW

    https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

    https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-013/

    https://sec.cloudapps.cisco.com/security/center/softwarechecker.x

    Restez informés des dernières menaces !

    Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

    Merci pour votre inscription !
    Oups ! Une erreur est survenue lors de l'envoi du formulaire.
    Nos offresNos ExpertisesLe groupe Constellation
    Notre équipeNous rejoindreBlog
    Urgences CyberInformations SOCCommander un Test d'Intrusion
    Conditions Générales de VentesMentions légalesNous contacter
    ©2024 Login Sécurité | Mentions légales et Politique de confidentialité