FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

思科公司已发布软件更新，修复其Secure Firewall Adaptive Security Appliance（ASA）软件和Secure Firewall Threat Defense（FTD）软件VPN网络服务器中存在的一个零日漏洞。该漏洞编号为CVE-2025-20362，CVSS评分为6.5（中高危），可能允许未经认证的攻击者获取受限资源的未授权访问权限。

漏洞技术细节

思科对该问题的描述如下："思科Secure Firewall Adaptive Security Appliance（ASA）软件和Secure Firewall Threat Defense（FTD）软件的VPN网络服务器中存在漏洞，可能允许未经认证的远程攻击者在无需认证的情况下访问本应受限的URL端点。"

漏洞根源在于对HTTP(S)请求中用户输入数据的验证不当。攻击者可通过向目标设备发送特制HTTP请求来利用此弱点。"成功利用该漏洞可使攻击者在无需认证的情况下访问受限URL。"

受影响设备范围

该漏洞影响运行特定配置下易受攻击版本ASA或FTD软件的设备：

• ASA软件在配置AnyConnect IKEv2远程访问、移动用户安全(MUS)或SSL VPN时可能受影响
• FTD软件在配置AnyConnect IKEv2远程访问或AnyConnect SSL VPN时可能受影响

思科特别指出，远程访问VPN功能可能启用SSL监听套接字，从而创造漏洞利用条件。

漏洞利用现状与修复建议

思科产品安全事件响应团队(PSIRT)确认该漏洞已遭到攻击尝试："思科PSIRT已发现针对此漏洞的攻击尝试。"

思科强烈建议客户升级："思科已发布修复该漏洞的软件更新。我们持续强烈建议客户升级至已修复的软件版本。"此外，公司还建议启用增强防护措施："安装修复版本后，建议客户查阅《思科Secure Firewall ASA防火墙CLI配置指南》中的'为VPN服务配置威胁检测'章节。"

参考来源：

Cisco Zero-Day CVE-2025-20362 Under Attack: VPN Flaw in ASA/FTD Exposes Restricted Resources

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）