Cisco met en garde contre une nouvelle attaque de pare-feu exploitant CVE-2025-20333 et CVE-2025-20362

Cisco a révélé mercredi qu'une nouvelle variante d'attaque cible les appareils exécutant des versions spécifiques des logiciels Cisco Secure Firewall Adaptive Security Appliance (ASA) et Threat Defense (FTD), vulnérables à CVE-2025-20333 et CVE-2025-20362. Selon l'avis mis à jour de Cisco, cette nouvelle attaque peut provoquer un redémarrage inattendu des appareils non corrigés, entraînant des conditions de déni de service (DoS), ce qui signifie des interruptions des services réseau pour les utilisateurs. L'entreprise a fortement exhorté ses clients à installer immédiatement les mises à jour disponibles pour éviter toute interruption de service.\n\nCes deux vulnérabilités ont été initialement divulguées fin septembre 2025 mais avaient déjà été exploitées comme vulnérabilités zero-day avant de devenir publiques. Le Centre national britannique de cybersécurité (NCSC) a rapporté que ces exploits ont été utilisés dans des attaques livrant des malwares tels que RayInitiator et LINE VIPER. CVE-2025-20333 est particulièrement grave car il permet aux attaquants d'exécuter du code arbitraire avec des privilèges root en envoyant des requêtes HTTP spécialement conçues, tandis que CVE-2025-20362 permet un accès non autorisé à des URL restreintes sans authentification.\n\nEn plus des vulnérabilités du pare-feu, Cisco a abordé deux failles de sécurité critiques trouvées dans le logiciel Unified Contact Center Express (Unified CCX). Ces problèmes pourraient permettre à des attaquants distants non authentifiés de télécharger des fichiers arbitraires, contourner l'authentification, exécuter des commandes arbitraires et élever leurs privilèges au niveau root. Le chercheur en sécurité Jahmel Harris a été crédité pour la découverte et la notification de ces vulnérabilités. La première, CVE-2025-20354 (score CVSS 9.8), concerne une faiblesse dans le processus Java Remote Method Invocation (RMI), permettant aux attaquants de télécharger et d'exécuter des fichiers arbitraires avec un accès root. La seconde, CVE-2025-20358 (score CVSS 9.4), affecte l'application CCX Editor et permet aux attaquants de contourner l'authentification et d'obtenir des droits administratifs pour créer et exécuter des scripts sur le système d'exploitation sous-jacent.\n\nCisco a corrigé ces failles Unified CCX dans des versions spécifiques du logiciel : la version 12.5 SU3 (corrigée dans 12.5 SU3 ES07) et la version 15.0 (corrigée dans 15.0 ES01). En plus de celles-ci, Cisco a également corrigé une vulnérabilité DoS de haute gravité (CVE-2025-20343, score CVSS 8.6) dans l'Identity Services Engine (ISE). Cette faille provient d'une erreur logique lors du traitement des requêtes d'accès RADIUS impliquant des adresses MAC déjà marquées comme rejetées. Un attaquant peut exploiter cela en envoyant plusieurs messages RADIUS spécialement conçus, provoquant un redémarrage inattendu de l'appareil.\n\nBien qu'il n'y ait actuellement aucune preuve indiquant que ces trois dernières failles de sécurité ont été exploitées dans la nature, Cisco souligne l'importance d'appliquer rapidement les correctifs pour assurer une protection optimale. La rapidité de la publication des correctifs souligne l'engagement de Cisco envers la sécurité et la lutte continue contre les menaces cybernétiques émergentes. Les utilisateurs et organisations s'appuyant sur les produits Cisco sont fortement conseillés de prioriser ces mises à jour pour atténuer les risques liés à ces vulnérabilités importantes.