- Penyerang mengeksploitasi dua zero-day di firewall Cisco ASA untuk akses jarak jauh dan persistensi
- Kampanye menggunakan taktik sembunyi-sembunyi seperti penonaktifan log dan perusakan firmware untuk menghindari deteksi
- Cisco mendesak peningkatan ke model yang mendukung Boot Aman dan pengaturan ulang penuh perangkat yang disusupi
Cisco memperingatkan pelanggan tentang kampanye yang sedang berlangsung terhadap perusahaan yang menggunakan beberapa layanannya, setelah menyadari adanya “varian serangan baru” baru-baru ini.
Dalam laporan baru, perusahaan mengatakan mereka mengamati kampanye yang sedang berlangsung yang menargetkan Cisco ASA 5500-X Series dan Secure tembok api perangkat. Para penyerang mengeksploitasi dua kerentanan kritis zero-day, yang dilacak sebagai CVE-2025-20333 dan CVE-2025-20362, yang memungkinkan mereka mendapatkan akses jarak jauh, mengeksekusi kode arbitrer, menyebarkan malware, dan terkadang bahkan menyebabkan reboot Denial of Service (DoS) pada perangkat yang belum dipatch.
Serangan dimulai pada Mei 2025, Cisco menjelaskan, dan menekankan bahwa “varian baru” bukanlah satu kesatuan perangkat lunak perusakmelainkan teknik serangan yang diperbarui – pada dasarnya, versi evolusi dari aktivitas yang sama yang terkait dengan pelaku ancaman ArcaneDoor mulai tahun 2024.
Teknik penghindaran tingkat lanjut
Dalam serangan ini, pelaku ancaman melakukan eksploitasi VPN layanan web pada model ASA lama yang tidak memiliki perlindungan Secure Boot dan Trust Anchor, menonaktifkan log dan merusak firmware ROMMON untuk mempertahankan persistensi, bahkan setelah reboot.
Untuk tetap tersembunyi dan menghalangi penyelidikan forensik, pelaku ancaman menggunakan teknik sembunyi-sembunyi dan penghindaran tingkat lanjut, Cisco menambahkan:
“Penyerang diamati telah mengeksploitasi beberapa kerentanan zero-day dan menggunakan teknik penghindaran tingkat lanjut seperti menonaktifkan logging, mencegat perintah CLI, dan dengan sengaja merusak perangkat untuk mencegah analisis diagnostik,” kata Cisco.
“Kompleksitas dan kecanggihan insiden ini memerlukan respons multi-disiplin yang ekstensif di seluruh tim teknik dan keamanan Cisco.”
Untuk memitigasi ancaman tersebut, Cisco menyarankan pengguna untuk mengidentifikasi model dan firmware yang terpengaruh, memeriksa apakah layanan web VPN diaktifkan, meningkatkan ke versi patch, atau menonaktifkan layanan web VPN berbasis SSL/TSL sebagai tindakan sementara, dan kemudian mengatur ulang perangkat yang disusupi ke default pabrik sebelum menyegarkan kata sandi, sertifikat, dan kunci.
Hanya perangkat ASA 5500-X lama yang tidak didukung yang dipastikan telah disusupi, sementara firewall baru yang mendukung Boot Aman tampak resisten, Cisco menekankan, dan mendesak semua pelanggan untuk melakukan peningkatan.
Melalui Daftar
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
