CVE-2025-20333: Vulnerabilità di Esecuzione di Codice da Remoto nei Servizi Web VPN di Cisco ASA/FTD

CVE-2025-20333 interessa i dispositivi Cisco Adaptive Security Appliance (ASA) Software e Firepower Threat Defense (FTD) Software con i servizi del server web VPN (WebVPN) abilitati. La vulnerabilità risiede nel componente dei servizi web VPN ed è dovuta a una convalida inadeguata dell’input fornito dall’utente. Lo sfruttamento richiede credenziali VPN valide, ma una volta sfruttata, consente a un attaccante di ottenere l’esecuzione di codice da remoto con privilegi di root sul dispositivo target.
Questa falla è stata attivamente sfruttata in campagne di minaccia coordinate (collegate a UAT4356 / Storm-1849) contro dispositivi Cisco perimetrali. CISA ha incluso CVE-2025-20333 nel proprio Catalogo delle Vulnerabilità Conosciute Sfruttate (KEV) nell’ambito della Direttiva di Emergenza ED 25-03, richiedendo alle agenzie federali statunitensi di identificare, mitigare e correggere i sistemi vulnerabili.

Cisco ASA
2025-09-29 15:02:10
Fix Available, Active Exploitation

Riassunto tecnico

Questa è una vulnerabilità di Buffer Overflow (CWE-120) con un punteggio CVSS v3.1 base di 9.9 (Critico). La falla deriva da un controllo insufficiente dei limiti nel percorso di codice dei servizi web VPN.

  • Requisiti di attacco: Lo sfruttamento richiede che un attaccante possa raggiungere il componente WebVPN vulnerabile e invocare il percorso di input vulnerabile. Sono generalmente necessarie credenziali VPN valide per uno sfruttamento diretto.
  • Impatto: Lo sfruttamento riuscito consente l’esecuzione arbitraria di codice con privilegi root, permettendo la compromissione completa del dispositivo (persistenza, furto di credenziali, alterazione dei log, movimento laterale).
  • Comportamento osservato: CVE-2025-20333 è stata attivamente sfruttata in ambienti reali. È stata osservata anche in concatenazione con CVE-2025-20362 (una vulnerabilità di autorizzazione mancante), permettendo agli attaccanti di passare da accesso non autenticato a RCE in alcune campagne.

Questa vulnerabilità rappresenta un rischio grave per i dispositivi ASA/FTD esposti a Internet con WebVPN abilitato.

Raccomandazioni

  1. Applicazione immediata delle patch: Eseguire l’aggiornamento alle versioni di software Cisco ASA/FTD che risolvono CVE-2025-20333 senza ritardi. Cisco ha rilasciato patch per tutte le linee di prodotto supportate.
  2. Limitare i servizi web VPN: Disabilitare o limitare i servizi del server web VPN / WebVPN da reti non affidabili fino a quando non saranno applicate le patch.
  3. Analisi forense e threat hunting: Seguire le linee guida forensi pubblicate da Cisco e CISA. Raccogliere crash dump, ispezionare per eventuali impianti malware e controllare log anomali o meccanismi di persistenza inusuali.
  4. Rotazione di credenziali e certificati: Se si sospetta uno sfruttamento, ripristinare il dispositivo alle impostazioni di fabbrica dopo l’applicazione della patch, cambiare tutte le credenziali VPN degli utenti e riemettere certificati e chiavi.
  5. Rafforzamento della rete: Limitare l’esposizione delle interfacce di gestione, applicare controlli di segmentazione e garantire che solo IP attendibili possano accedere agli endpoint amministrativi.
  6. Preparazione alla risposta agli incidenti: Essere pronti a una possibile compromissione a livello firmware. In caso di compromissione confermata, disconnettere il dispositivo dalla rete, preservare le prove e seguire i protocolli di risposta agli incidenti.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In