ISGroup Conseil en Cybersécurité

CVE-2025-20362 : Vulnérabilité d’autorisation manquante dans les services Web VPN de Cisco ASA/FTD

La CVE-2025-20362 concerne les dispositifs Cisco Adaptive Security Appliance (ASA) Software et Firepower Threat Defense (FTD) Software sur lesquels les services de serveur web VPN (WebVPN) sont activés. La vulnérabilité réside dans le composant des services web VPN et est causée par une absence de contrôles d’autorisation. En envoyant des requêtes HTTP(S) spécialement conçues, un attaquant distant non authentifié peut accéder à des points de terminaison URL réservés qui devraient normalement nécessiter une authentification. Cette faille a été activement exploitée dans des campagnes ciblées contre des dispositifs périmétriques Cisco et a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA dans le cadre de la directive d’urgence ED 25-03, qui exige des agences fédérales américaines qu’elles identifient et atténuent les systèmes affectés.

ProduitCisco ASA
Date29/09/2025 13:09:26
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Il s’agit d’une vulnérabilité liée à une absence d’autorisation (CWE-862) avec un score de base CVSS v3.1 de 6.5 (Moyen). La faille permet à un attaquant distant non authentifié de contourner les contrôles d’autorisation sur les dispositifs Cisco ASA/FTD dont les services web VPN sont activés.

Si elle est exploitée, les attaquants peuvent obtenir un accès non autorisé à des points de terminaison ou à des fonctionnalités sensibles, fournissant un point d’entrée pour d’autres attaques telles que la divulgation d’informations ou l’exploitation de vulnérabilités supplémentaires pour une compromission plus profonde.

Selon Cisco et plusieurs rapports de recherche en sécurité, cette vulnérabilité a été activement exploitée en conditions réelles dans le cadre de campagnes de menaces avancées (notamment liées à UAT4356 / Storm-1849) contre des dispositifs Cisco ASA et FTD. Les attaquants combinent cette faille avec d’autres vulnérabilités zero-day (ex. CVE-2025-20333) pour obtenir un accès persistant et dissimulé.

Recommandations

  1. Correctif immédiat requis : Effectuez la mise à jour vers les versions du logiciel Cisco ASA/FTD contenant le correctif pour la CVE-2025-20362 dès que possible. Cisco a publié des mises à jour correctives pour toutes les branches affectées.

  2. Limiter l’exposition : Désactivez ou limitez l’accès aux composants VPN Web Services / WebVPN depuis des réseaux non approuvés si le correctif ne peut pas être appliqué immédiatement.

  3. Segmentation du réseau et contrôles d’accès : Mettez en œuvre une segmentation réseau stricte, révisez les politiques d’accès aux interfaces de gestion et limitez l’exposition des consoles d’administration aux réseaux internes.

  4. Surveillance et recherche de menaces : Surveillez activement les journaux du serveur web VPN et le trafic réseau pour détecter toute tentative d’accès suspecte ou non autorisée. Suivez les directives de Cisco et de la CISA pour identifier d’éventuelles compromissions.

  5. Préparation à la réponse aux incidents : En cas de suspicion de compromission, effectuez une analyse forensique sur le dispositif, renouvelez les identifiants et suivez les étapes de remédiation publiées par Cisco pour les dispositifs ASA/FTD compromis.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *