В США произошел инцидент с компрометацией Cisco ASA и Firepower в одном из госведомств, где атака продолжалась даже после установки обновлений безопасности. Речь идёт о той же цепочке уязвимостей, что использовали в кампании ArcaneDoor: CVE-2025-20333 и CVE-2025-20362.
Проблема оказалась не в самом факте установки патча, а в его корректности. CISA отдельно указала: часть ведомств отметила системы как «обновлённые», хотя фактически они остались уязвимыми из-за установки промежуточных или неподходящих версий ПО.
Дополнительно вскрылась ещё одна неприятная деталь. Атакующие использовали механизм закрепления на уровне ROM (read-only memory) устройства. Это позволяет вредоносному коду переживать перезагрузку и даже обновление прошивки.
В рамках той же кампании злоумышленники получали доступ к сетевому периметру, запускали команды на устройствах и могли извлекать данные из инфраструктуры. Cisco подтверждала участие в расследованиях вместе с госорганами и анализировала заражённые устройства, включая извлечение прошивок и сетевых дампов.
Атаки носили массовый характер. CISA описывает кампанию как «широко распространённую» и требующую срочных действий со стороны всех федеральных агентств.
Отдельный риск связан с тем, что Cisco ASA и Firepower стоят на границе сети: они обрабатывают VPN, фильтруют трафик и имеют доступ к критическим сегментам. Компрометация такого устройства даёт атакующему точку контроля над входящим и исходящим трафиком.
Сценарий, при котором патч не спасает, складывается из двух факторов: неправильное обновление и глубокое закрепление атакующего в системе. В результате администратор считает устройство защищённым, а атакующий продолжает работать внутри инфраструктуры.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
