CISA гоняет федералов патчить Cisco

CISA снова включает режим строгого админа, раздавая подзатыльники тем федеральным структурам, которые «вроде как пропатчились», но на деле накатывали не те версии прошивок и оставили свои Cisco ASA и Firepower открытыми, будто это не сетевой периметр, а вход в сельский Wi-Fi. Причина шума — две активно эксплуатируемые дыры: CVE-2025-20362, дающая удалённый доступ к приватным URL без аутентификации, и CVE-2025-20333, позволяющая получить RCE и, в сочетании, превратить фаервол в смиренную машинку для удалённого исполнения чужих желаний.

Cisco ещё в сентябре честно предупредил всех, что баги жгут в нулях, атакуют 5500-X с включённым VPN веб-сервисом, а корни атаки уходят в кампанию ArcaneDoor — давних любителей ломать правительственные сети, используя собственный набор Cisco-нулевух. CISA моментально издала Emergency Directive 25-03: времени на раздумья нет, патчьте всё в течение 24 часов, включая устройства внутри периметра, а не только наружные.

Однако реальность показала, что федеральные агентства — это не DevOps-конвейер, и многие из них радостно отметили устройство как «patched», установив версии, которые всё ещё уязвимы. Результат закономерен: живое, активное, постоянное злоупотребление уязвимыми ветками прошивок на сетях FCEB-агентств. CISA пришлось напоминать: «Патч есть только тогда, когда стоит правильная версия. Всё остальное — галочка для самоуспокоения».

Ситуацию усугубляет статистика Shadowserver: больше 30 000 Cisco-девайсов по-прежнему торчат в интернете с полностью открытыми дырами, и хотя это меньше, чем предыдущие 45 000, атаки никуда не делись — просто теперь у злоумышленников меньше целей, а значит, они бьют точнее.

Чтобы навести порядок, CISA выкатило обновлённый набор рекомендаций по защите инфраструктуры от цепочек атак, использующих CVE-2025-20362 и CVE-2025-20333. Агентствам велено обновлять абсолютно все ASA и Firepower, независимо от того, доступны ли они извне. Из-за особенностей уязвимостей компрометировать устройства можно и изнутри сети, так что медлить нельзя.

К слову, это не единственный пожар недели: CISA также приказало федеральным ведомствам срочно закрыть критическую уязвимость в Samsung-устройствах, которую активно юзают для доставки шпионского ПО LandFall через WhatsApp, и обновить WatchGuard Firebox против свежей RCE-уязвимости, которую уже эксплуатируют в живой дикой среде.

Федералам остаётся одно: прекратить «галочкотрон», начать патчить по-взрослому и перестать дарить злоумышленникам root-доступ к сетевому периметру просто потому, что «казалось, что обновили».