思科昨日警告，两个两个月前已修补的防火墙漏洞再次出现新一波攻击，可关闭日志记录、导致设备崩溃，并修改内存，影响特定型号的Cisco ASA 5500-X系列设备。

思科于9月发布安全公告并修补了CVE-2025-20333和CVE-2025-20362两个漏洞，这两个漏洞影响思科ASA防火墙及思科安全防火墙威胁防御（Cisco Secure Firewall Threat Defense，FTD）软件。其中，成功利用CVE-2025-20333的攻击者可在受害系统上以root权限执行任意代码，完全控制设备，漏洞风险评分高达9.9；CVE-2025-20362则允许攻击者无需认证即可访问受保护的URL，风险评分为6.5。

在本周更新的安全公告中，思科表示已发现未安装更新的Cisco Secure ASA软件或Secure FTD软件设备正遭受“新型攻击变种”攻击。此次攻击可导致未修补设备非预期重启，引发拒绝服务（Denial of Service, DoS）。思科强烈建议所有用户立即安装最新版本软件。

思科在9月首次披露时即警告，这两个漏洞已被实际利用。上个月，该公司再次公告相关攻击活动，黑客借此部署了恶意程序RayInitiator和Line Viper。

思科最新公告进一步披露了详细情况。今年5月，多个为政府机构提供网络安全响应的部门向思科寻求协助，调查运行ASA Software with VPN web service的ASA 5500-X系列设备遭攻击事件。这些设备被植入恶意程序并执行指令，可能存在数据外泄风险。

思科当时已成立专项小组协助受影响客户，并对受害设备的网络封包样本进行分析，最终发现底层内存损坏漏洞。

研究人员认为，近期的攻击与思科2024年初发现的ArcaneDoor攻击出自同一团伙。

在攻击手法上，研究人员发现攻击者利用了多个零日漏洞，并采用高级规避检测技术，例如关闭日志记录、拦截CLI指令，并故意使设备崩溃以阻碍诊断分析。取证分析显示，攻击者修改了ROMMON（ROM监控程序），使其在软件更新和系统重启后仍能长期驻留。

目前仅在具备Secure Boot和Trust Anchor技术之前的早期Cisco ASA 5500-X系列设备上发现此类修改行为。而在配备Secure Boot和Trust Anchor技术的设备上，思科未发现任何成功破坏、植入恶意程序或持久化机制（如后门）的证据，因此未为此类情况分配漏洞编号。

已确认遭受此次攻击的ASA 5500-X系列设备包括：

5512-X/5515-X（最后支持日期：2022年8月31日）、5525-X/5545-X/5555-X（最后支持日期：2025年9月30日），以及5585-X（最后支持日期：2023年5月31日）。5506-X/5506H-X/5506W-X/5508-X/5516-X设备则未受影响（最后支持日期：2026年8月31日）。

尽管ASA软件也可运行在其他不同架构的硬件平台上，但思科表示目前没有证据表明这些平台受到此次攻击影响，包括运行FTD软件的设备。