ISGroup Conseil en Cybersécurité

CVE-2025-20333 : Vulnérabilité d’exécution de code à distance dans les services Web VPN de Cisco ASA/FTD

La CVE-2025-20333 concerne les logiciels Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) dont les services de serveur web VPN (WebVPN) sont activés. La vulnérabilité réside dans le composant des services web VPN et est due à une validation inadéquate des entrées fournies par l’utilisateur. L’exploitation nécessite des identifiants VPN valides, mais une fois exploitée, elle permet à un attaquant d’obtenir l’exécution de code à distance avec des privilèges root sur le périphérique cible.
Cette faille a été activement exploitée dans des campagnes de menaces coordonnées (liées à UAT4356 / Storm-1849) contre des périphériques périmétriques Cisco. La CISA a inclus la CVE-2025-20333 dans son catalogue des vulnérabilités exploitées connues (KEV) dans le cadre de la directive d’urgence ED 25-03, exigeant des agences fédérales américaines qu’elles identifient, atténuent et corrigent les systèmes vulnérables.

ProduitCisco ASA
Date29/09/2025 15:02:10
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Il s’agit d’une vulnérabilité de type dépassement de tampon (Buffer Overflow – CWE-120) avec un score de base CVSS v3.1 de 9,9 (Critique). La faille découle d’un contrôle insuffisant des limites dans le chemin d’exécution des services web VPN.

  • Exigences d’attaque : L’exploitation nécessite qu’un attaquant puisse atteindre le composant WebVPN vulnérable et invoquer le chemin d’entrée vulnérable. Des identifiants VPN valides sont généralement nécessaires pour une exploitation directe.
  • Impact : Une exploitation réussie permet l’exécution arbitraire de code avec des privilèges root, autorisant la compromission complète du périphérique (persistance, vol d’identifiants, altération des journaux, mouvement latéral).
  • Comportement observé : La CVE-2025-20333 a été activement exploitée dans des environnements réels. Elle a également été observée en chaînage avec la CVE-2025-20362 (une vulnérabilité d’autorisation manquante), permettant aux attaquants de passer d’un accès non authentifié à une exécution de code à distance (RCE) dans certaines campagnes.

Cette vulnérabilité représente un risque grave pour les périphériques ASA/FTD exposés à Internet avec WebVPN activé.

Recommandations

  1. Application immédiate des correctifs : Effectuez la mise à jour vers les versions des logiciels Cisco ASA/FTD qui corrigent la CVE-2025-20333 sans délai. Cisco a publié des correctifs pour toutes les gammes de produits prises en charge.
  2. Limiter les services web VPN : Désactivez ou limitez les services de serveur web VPN / WebVPN depuis les réseaux non approuvés jusqu’à ce que les correctifs soient appliqués.
  3. Analyse forensique et chasse aux menaces (threat hunting) : Suivez les directives forensiques publiées par Cisco et la CISA. Collectez les vidages de mémoire (crash dumps), inspectez la présence éventuelle de logiciels malveillants et vérifiez les journaux anormaux ou les mécanismes de persistance inhabituels.
  4. Rotation des identifiants et des certificats : Si une exploitation est suspectée, réinitialisez le périphérique aux paramètres d’usine après l’application du correctif, modifiez tous les identifiants VPN des utilisateurs et réémettez les certificats et les clés.
  5. Renforcement du réseau : Limitez l’exposition des interfaces de gestion, appliquez des contrôles de segmentation et assurez-vous que seuls les IP approuvés peuvent accéder aux points de terminaison administratifs.
  6. Préparation à la réponse aux incidents : Soyez prêt à une éventuelle compromission au niveau du micrologiciel (firmware). En cas de compromission confirmée, déconnectez le périphérique du réseau, préservez les preuves et suivez les protocoles de réponse aux incidents.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *