Как сообщает Reuters, агентство по кибербезопасности и инфраструктурной безопасности США (CISA) объявило о беспрецедентной кампании кибератак, направленной на устройства сетевой безопасности компании Cisco Systems. В ответ на растущую угрозу CISA выпустило чрезвычайную директиву ED 25-03, обязывающую федеральные агентства немедленно идентифицировать и устранять потенциальные компрометации. Это решение подчеркивает эскалацию глобальных киберрисков, где продвинутые хакеры используют zero-day уязвимости для проникновения в защищенные сети.
Кампания, известная как ArcaneDoor и предположительно связанная с китайскими государственными акторами, затрагивает Cisco Adaptive Security Appliances (ASA) и Firepower Threat Defense (FTD). Атакующие эксплуатируют три критические уязвимости: CVE-2025-20333 (CVSS 9.9, удаленное выполнение кода), CVE-2025-20362 (CVSS 6.5, эскалация привилегий) и CVE-2025-20363 (удаленное выполнение кода). Эти дефекты позволяют несанкционированный доступ к VPN-серверам, манипуляцию ROM-памятью для персистентности после перезагрузок и внедрение вредоносного ПО, такого как Line Runner (бэкдор) и Line Dancer (загрузчик шеллкода). По оценкам CISA, атаки начались не позднее 2024 года и уже затронули несколько федеральных агентств и частные компании, создавая риски для национальной инфраструктуры.
Директива ED 25-03 требует от агентств строгого соблюдения сроков: инвентаризация всех ASA- и Firepower-устройств к 26 сентября, сбор forensic-данных для анализа CISA, отключение устаревших устройств (end-of-support с 30 сентября) и обновление ПО до патченных версий (например, ASA 9.18.4.11+). Несоблюдение влечет ответственность по разделу 3553(h) Кодекса США. CISA добавило уязвимости в каталог Known Exploited Vulnerabilities (KEV), предоставив 24 часа на реакцию.
Cisco, в свою очередь, опубликовало срочные security advisories, рекомендующее немедленный апгрейд без workaround-ов. Компания подтверждает отсутствие задержек в уведомлениях властей и подчеркивает мониторинг сетей на аномалии. Британский NCSC и австралийский ACSC присоединились к предупреждениям, отметив сложность malware и призвав к глобальному сотрудничеству.
Эксперты оценивают угрозу как "высоко софистицированную", способную подорвать цепочки поставок и государственные сети. "Эта активность представляет значительный риск для сетей жертв", – заявил исполняющий обязанности директора CISA Мадху Готтумуккала. Для минимизации ущерба рекомендуется сегментация сетей, многофакторная аутентификация и регулярный аудит.
