Chińskie ataki nie ustają w poszukiwaniu luk w Cisco ASA Firewalls.

W ostatnich tygodniach coraz większą uwagę przyciąga wyrafinowana kampania cyber-szpiegowska: grupa hakerów powiązana z Chinami aktywnie skanuje i wykorzystuje niezałatane zapory sieciowe firmy Cisco — w szczególności z linii Adaptive Security Appliance (ASA) — szeroko stosowane w instytucjach rządowych, instytucjach obronnych i dużych przedsiębiorstwach na całym świecie.

Według analityków ds. reagowania na incydenty z jednostki 42 firmy Palo Alto Networks, grupa znana jako Storm-1849 (śledzona również jako UAT4356) przez cały październik atakowała urządzenia ASA w Stanach Zjednoczonych, Europie i Azji. Te zapory sieciowe — powszechnie stosowane w sieciach „brzegowych” instytucji rządowych i dużych przedsiębiorstw — łączą w jednym urządzeniu funkcje zapory sieciowej, zapobiegania włamaniom, usług VPN, antywirusa i filtrowania spamu, co czyni je bardzo atrakcyjnym celem.

Unit 42 informuje, że tylko w październiku zaobserwowano próby skanowania i wykorzystywania 12 adresów IP powiązanych z agencjami federalnymi Stanów Zjednoczonych oraz kolejnych 11 powiązanych z podmiotami rządowymi na szczeblu stanowym lub lokalnym. Kampania nie ogranicza się bynajmniej do Stanów Zjednoczonych: celem ataków były również publiczne adresy IP w Indiach, Nigerii, Japonii, Norwegii, Francji, Wielkiej Brytanii, Holandii, Hiszpanii, Australii, Polsce, Austrii, Zjednoczonych Emiratach Arabskich, Azerbejdżanie i Bhutanie.

W centrum kampanii znajdują się dwie krytyczne luki typu zero-day w Cisco ASA i towarzyszącym mu produkcie Cisco Secure Firewall Threat Defense (FTD). Są to:

CVE‑2025‑20333: przepełnienie bufora w komponencie serwera WWW VPN oprogramowania ASA/FTD, ocenione na 9,9 w skali CVSS i wykorzystywane w środowisku rzeczywistym. Luka w zabezpieczeniach serwera VPN oprogramowania Cisco Secure Firewall Adaptive Security Appliance (ASA) i Cisco Secure Firewall Threat Defense (FTD) może umożliwić uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnego kodu na podatnym urządzeniu. Luka ta wynika z nieprawidłowej weryfikacji danych wprowadzonych przez użytkownika w żądaniach HTTP(S). Atakujący posiadający ważne poświadczenia użytkownika VPN może wykorzystać tę lukę, wysyłając spreparowane żądania HTTP do podatnego urządzenia. Pomyślne wykorzystanie luki może umożliwić atakującemu wykonanie dowolnego kodu jako root, co może skutkować całkowitym przejęciem kontroli nad podatnym urządzeniem.

CVE‑2025‑20362: luka w zabezpieczeniach związana z brakiem autoryzacji w tym samym interfejsie WebVPN, o wartości CVSS 6,5, którą można połączyć z powyższą luką, aby uzyskać pełny dostęp do urządzenia. Luka w zabezpieczeniach serwera WWW VPN oprogramowania Cisco Secure Firewall Adaptive Security Appliance (ASA) i Cisco Secure Firewall Threat Defense (FTD) może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu dostęp do ograniczonych punktów końcowych URL związanych z VPN zdalnego dostępu, które w innym przypadku byłyby niedostępne bez uwierzytelnienia. Luka ta wynika z nieprawidłowej walidacji danych wprowadzanych przez użytkownika w żądaniach HTTP(S). Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądania HTTP do docelowego serwera WWW na urządzeniu. Udane wykorzystanie luki może umożliwić atakującemu dostęp do ograniczonego adresu URL bez uwierzytelniania.

Firma Cisco potwierdziła, że luki te były aktywnie wykorzystywane przez cyberprzestępców, a część łańcucha ataków obejmuje mechanizmy trwałości, które przetrwały ponowne uruchomienie i aktualizacje (na przykład zestawy startowe modyfikujące ROMMON) na zainfekowanych urządzeniach. Wszystko to skłoniło amerykańską agencję ds. cyberbezpieczeństwa i bezpieczeństwa infrastruktury (CISA) do wydania dyrektywy nadzwyczajnej (ED 25-03), nakazującej federalnym agencjom cywilnym identyfikację i ograniczenie potencjalnego zagrożenia dla urządzeń Cisco.

Wskaźniki naruszenia bezpieczeństwa

Urządzenie / lokalne artefakty

• disk0:/firmware_update.log obecny lub niedawno zmodyfikowany (obecność po zainstalowaniu poprawki może wskazywać na wcześniejsze manipulacje).
• Nieoczekiwane lub zmodyfikowane zmienne ROMMON/boot, nieoczekiwane obrazy rozruchowe lub niezgodność między wersją oprogramowania układowego a zainstalowanymi sektorami rozruchowymi.
• Nieoczekiwane procesy lub moduły w pamięci widoczne podczas zrzutu pamięci / przechwytywania pamięci (oznaki implantów typu LINE VIPER / RayInitiator).
• Tłumione zdarzenia syslog, luki w osi czasu syslog lub uszkodzenie plików dziennika.

Wskaźniki sieciowe / ruchu

• Duże lub nietypowe sesje VPN tworzone z nowych zdalnych adresów IP lub wzorców (szczególnie do administracyjnych / VPN punktów końcowych sieci) wkrótce po skokach skanowania.
• Połączenia wychodzące z płaszczyzny zarządzania ASA do nieoczekiwanych zewnętrznych adresów IP / domen — szczególnie przez nietypowe porty lub szyfrowane tunele zainicjowane z samego urządzenia.

Wskaźniki behawioralne

• Ponowne uruchomienia urządzenia, które korelują z próbami aktualizacji, ale gdzie konfiguracja lub poświadczenia później się różnią.
• Konta administracyjne utworzone/zmodyfikowane bez formalnej kontroli zmian.
• Nieoczekiwane skoki wykorzystania procesora/pamięci w przestrzeni procesowej ASA (WebVPN).

Zapory brzegowe, takie jak seria ASA, stanowią atrakcyjny cel dla szpiegów. Znajdują się one na granicy między sieciami wewnętrznymi a Internetem, a w przypadku naruszenia bezpieczeństwa zapewniają dostęp do wartościowego ruchu sieciowego, danych uwierzytelniających i systemów wewnętrznych. Ponadto są one rzadziej aktualizowane niż bardziej widoczne zasoby, zwłaszcza gdy są wdrażane przez agencje rządowe podlegające znacznym ograniczeniom operacyjnym. W jednym z blogów zauważono, że niektóre z modeli ASA, które stały się celem ataków, zbliżały się do końca okresu wsparcia (EoS) lub już go przekroczyły i nie posiadały zabezpieczeń „Secure Boot” ani „Trust Anchor”.

Ponadto fakt, że luki w zabezpieczeniach mają wpływ na interfejs WebVPN — który często jest udostępniany na zewnątrz w celu umożliwienia zdalnego dostępu — sprawia, że można je wykorzystać na dużą skalę. Obserwowane łańcuchy ataków obejmują skanowanie urządzeń ASA podłączonych do Internetu, wykorzystanie luki CVE-2025-20362 w celu ominięcia uwierzytelniania, a następnie wykorzystanie luki CVE-2025-20333 w celu uzyskania uprawnień administratora, po czym następuje implantacja bootkitu (RayInitiator) i modułowego programu ładującego shellcode (LINE VIPER) w celu utrzymania trwałości i wycieku danych.

Przypisanie i znaczenie – Unit 42 przypisuje tę działalność Storm-1849, grupie, którą Cisco i inni badacze bezpieczeństwa łączą z kampaniami „ArcaneDoor”, które rozpoczęły się w 2024 r. Chociaż ani CISA, ani Cisco nie przypisały formalnie kampanii z 2025 r. chińskim podmiotom państwowym, publicznie dostępne dochodzenia (np. przeprowadzone przez Censys) wykazały, że adresy IP kontrolowane przez sprawców były powiązane z chińskimi sieciami, a w infrastrukturze kontrolnej znaleziono dowody na stosowanie chińskich narzędzi antycenzurnych. Skala, stopień zaawansowania i cele tej kampanii sugerują motywy szpiegowskie — rządy, wykonawcy z branży obronnej, instytucje finansowe — a nie czysto finansowe.

Globalny zasięg i konsekwencje – Dane publiczne sugerują, że kampania ta ma charakter globalny. Liczba narażonych urządzeń jest zaskakująca: według szacunków pod koniec września 2025 r. około 50 000 podłączonych do Internetu urządzeń Cisco ASA/FTD nadal nie miało zainstalowanych poprawek zabezpieczających przed tymi lukami — prawie 20 000 z nich znajdowało się w Stanach Zjednoczonych, a Wielka Brytania, Niemcy i inne kraje zachodnie również odczuły poważne skutki ataku. Globalny charakter kampanii oznacza, że naruszenie nawet jednej zapory sieciowej w jurysdykcji o mniejszych zasobach może zapewnić dostęp do rozległych sieci, regionalnych backdoorów lub ataków typu chain-of-trust.

Dla każdego zespołu ds. bezpieczeństwa w administracji rządowej, obronności, infrastrukturze krytycznej lub przedsiębiorstwie jest to surowe przypomnienie: luki w zabezpieczeniach urządzeń brzegowych mogą zapewnić bezpośredni dostęp do zasobów o wysokiej wartości. Fakt, że atakujący łączą obejście uwierzytelniania z głębokimi środkami utrzymania, które przetrwały aktualizacje oprogramowania układowego, podkreśla, jak bardzo stosy zapór sieciowych — tradycyjnie uważane za stabilne i mniej zmienne — są obecnie frontem dla zaawansowanych podmiotów stanowiących zagrożenie.

Co organizacje muszą zrobić

1. Przeprowadzić inwentaryzację wszystkich urządzeń ASA/FTD (oraz wszelkich równoważnych urządzeń firewall/VPN) mających kontakt z siecią zewnętrzną. Ustalić, czy działają one w wersjach podatnych na ataki (np. oprogramowanie ASA 9.12, 9.14, 9.16-9.20, 9.22-9.23; FTD 7.0-7.7) zgodnie z zaleceniami dostawcy.
2. Natychmiast zainstalować najnowsze poprawki. Firma Cisco wydała poprawione wersje w celu usunięcia luk CVE-2025-20333 i CVE-2025-20362 i zaleca migrację.
3. Jeśli nie można natychmiast zainstalować poprawek: należy ograniczyć lub wyłączyć usługi SSL VPN/WebVPN, odizolować lub usunąć podatne na ataki urządzenia z dostępu do Internetu, monitorować nietypowe logowania do VPN i spreparowane żądania HTTP/HTTPS.
4. Przeprowadzić dochodzenie kryminalistyczne: sprawdzić, czy nie ma oznak naruszenia bezpieczeństwa, takich jak modyfikacja pliku firmware_update.log, nieoczekiwane logi ponownego uruchomienia, tłumienie zdarzeń syslog, przechwytywanie poleceń CLI i inne anomalie.
5. Po aktualizacji: zresetuj urządzenia do domyślnych ustawień fabrycznych, jeśli podejrzewasz naruszenie bezpieczeństwa, wygeneruj ponownie poświadczenia, certyfikaty i klucze oraz upewnij się, że trwałe implanty zostały usunięte z modułów rozruchowych/oprogramowania układowego.
6. Weź pod uwagę implikacje architektoniczne: urządzenia brzegowe typu firewall/VPN mogą wymagać wyższego priorytetu w programach zarządzania podatnością na zagrożenia, skracając czas od ujawnienia do załatania. Rozważ migrację do modeli zero-trust, jeśli to możliwe.

To, co mogliśmy zaobserwować, nie jest zwykłą kampanią masowego skanowania. Celowanie, skalowanie, łączenie luk typu zero-day i wszczepianie trwałych mechanizmów utrzymania wskazują na dojrzałą, sponsorowaną przez państwo organizację, która prowadzi rozpoznanie i bez wątpienia umacnia swoją pozycję w krytycznej infrastrukturze na całym świecie. Dla każdej organizacji korzystającej z urządzeń Cisco ASA/FTD — zwłaszcza sektora rządowego lub infrastruktury krytycznej — przesłanie jest pilne: należy natychmiast zainstalować poprawki, założyć, że doszło do naruszenia bezpieczeństwa, aktywnie poszukiwać zagrożeń i traktować sprzęt firewall nie jako „zwykłą instalację”, ale jako strategiczną lukę w zabezpieczeniach.