Alerte - AL25-012 - Vulnérabilités affectant les appareils Cisco ASA et FTD – CVE-2025-20333, CVE-2025-20362 et CVE-2025-20363 - Mise à jour 1

Numéro : AL25-012
Date : 25 septembre 2025
Mise à jour : 23 avril 2026

Auditoire

La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a connaissance d’activités d’exploitation qui ciblent les dispositifs Cisco Adaptive Security Appliance (ASA) de la série 5500-X exécutant le logiciel Cisco Secure Firewall ASA avec services Web par RPV activés.

Le 25 septembre 2025, Cisco a publié des bulletins de sécurité au sujet des vulnérabilités critiques CVE-2025-20333, CVE-2025-20362 et CVE-2025-20363, qui touchent les versions logicielles suivantes des produits Cisco ASA et Cisco Secure Firewall Threat Defense (FTD):

• Cisco ASA, version logicielle 9.12 – versions antérieures à la version 9.12.4.72
• Cisco ASA, version logicielle 9.14 – versions antérieures à la version 9.14.4.28
• Cisco ASA, version logicielle 9.16 – versions antérieures à la version 9.16.4.85
• Cisco ASA, version logicielle 9.17 – versions antérieures à la version 9.17.1.45
• Cisco ASA, version logicielle 9.18 – versions antérieures à la version 9.18.4.67
• Cisco ASA, version logicielle 9.19 – versions antérieures à la version 9.19.1.42
• Cisco ASA, version logicielle 9.20 – versions antérieures à la version 9.20.4.10
• Cisco ASA, version logicielle 9.22 – versions antérieures à la version 9.22.2.14
• Cisco ASA, version logicielle 9.23 – versions antérieures à la version 9.23.1.19
   
• Cisco FTD, version logicielle 7.0 – versions antérieures à la version 7.0.8.1
• Cisco FTD, version logicielle 7.1 – toutes les versions
• Cisco FTD, version logicielle 7.2 – versions antérieures à la version 7.2.10.2
• Cisco FTD, version logicielle 7.3 – toutes les versions
• Cisco FTD, version logicielle 7.4 – versions antérieures à la version 7.4.2.4
• Cisco FTD, version logicielle 7.6 – versions antérieures à la version 7.6.2.1
• Cisco FTD, version logicielle 7.7 – versions antérieures à la version 7.7.10.1

Pour obtenir des précisions sur les versions affectées et les versions corrigées, veuillez-vous reporter aux bulletins de Cisco ci-dessous :^{Note de bas de page 1Note de bas de page 2Note de bas de page 3}

CVE-2025-20333 est une vulnérabilité affectant les logiciels ASA et FTD qui pourrait permettre à un auteur de menace distant non authentifié d’exécuter du code arbitraire sur les dispositifs touchés^{Note de bas de page 1}.

CVE-2025-20362 est une vulnérabilité affectant les logiciels ASA et FTD qui pourrait permettre à un auteur de menace distant non authentifié d’accéder à des adresses URL de points d'extrémité qui devraient être inaccessibles sans authentification^{Note de bas de page 2}.

CVE-2025-20363 est une vulnérabilité qui affecte les logiciels ASA, FTD, Cisco IOS, Cisco IOS XE et Cisco IOS XR, et qui pourrait permettre à un auteur de menace distant non authentifié (logiciels ASA et FTD) et à un auteur de menaces distant authentifié (Cisco IOS, IOS XE et IOS XR) possédant des droits d’accès faibles d’exécuter du code arbitraire sur les dispositifs touchés^{Footnote 3}.

Toutes ces vulnérabilités sont attribuables à une validation inadéquate des entrées fournies par l’utilisateur dans les requêtes HTTP(S).

En réponse à ces vulnérabilités, le Centre pour la cybersécurité a publié le bulletin AV25-619 le 25 septembre^{Note de bas de page 4}.

Mise à jour 1

Le 23 avril 2026, Cisco Talos a publié un billet de blogue ^{Footnote 8} et Cisco a diffusé un avis de sécurité ^{Footnote 9} faisant état d’une méthode de persistance auparavant inconnue qui demeure active même après une mise à niveau vers une version corrigée publiée en septembre 2025. Le mécanisme de persistance est intégré au système d’exploitation de base Cisco Firepower eXtensible Operating System (FXOS) pour les installations des logiciels Cisco Secure Firewall ASA et Cisco Secure FTD sur les appareils touchés.

La Cybersecurity and Infrastructure Security Agency (CISA) a publié la directive d’urgence V1 : ED 25 03 – Identify and Mitigate Potential Compromise of Cisco Devices ^{Footnote 10} et, conjointement avec le National Cyber Security Centre (NCSC) du Royaume Uni, a également publié le rapport d’analyse de logiciel malveillant (MAR) FIRESTARTER backdoor ^{Footnote 11} le 23 avril 2026.

Le Centre pour la cybersécurité recommande aux organisations de consulter l’avis de Cisco, de déterminer si des indicateurs de compromission sont présents sur leurs appareils et d’appliquer les contournements recommandés, notamment la réinstallation de l’appareil vers une version corrigée connue.

Produits et versions affectés :

Secure Firewall

• Cisco ASA software version 9.16 – versions antérieures à 9.16.4.92
• Cisco ASA software version 9.18 – versions antérieures à 9.18.4.135
• Cisco ASA software version 9.20 – versions antérieures à 9.20.4.30
• Cisco ASA software version 9.22 – versions antérieures à 9.22.3.5
• Cisco ASA software version 9.23 – versions antérieures à 9.23.1.195
• Cisco ASA software version 9.24 – versions antérieures à 9.24.1.155

Secure FTD

• Cisco FTD software version 7.0 – versions antérieures à 7.0.9 Hotfix FZ‑7.0.9.1‑3
• Cisco FTD software version 7.2 – versions antérieures à 7.2.11 Hotfix HI‑7.2.11.1‑1
• Cisco FTD software version 7.4 – versions antérieures à 7.4.7
• Cisco FTD software version 7.6 – versions antérieures à 7.6.4 Hotfix CC‑7.6.4.1‑1
• Cisco FTD software version 7.7 – versions antérieures à 7.7.11 Hotfix AE‑7.7.11.1‑4
• Cisco FTD software version 10 – versions antérieures à 10.0.0 Hotfix (cible : 30 avril 2026)

Appareils de sécurité Firepower 4100 et 9300

• Cisco Firepower 4100 et 9300 version 2.10 – versions antérieures à 2.10.1.383
• Cisco Firepower 4100 et 9300 version 2.12 – versions antérieures à 2.12.1.117
• Cisco Firepower 4100 et 9300 version 2.14 – versions antérieures à 2.14.3.125
• Cisco Firepower 4100 et 9300 version 2.16 – versions antérieures à 2.16.2.119
• Cisco Firepower 4100 et 9300 version 2.17 – versions antérieures à 2.17.0.549
• Cisco Firepower 4100 et 9300 version 2.18 – versions antérieures à 2.18.0.535

Fin de la mise à jour 1

Mesures recommandées

Le Centre pour la cybersécurité recommande fortement que les organisations qui exploitent les produits Cisco ASA et FTD effectuent une mise à niveau avec une version logicielle corrigée^{Note de bas de page 5}.

Les organisations qui effectuent une mise à niveau de l’ASA 5500-X vers les versions 9.12.4.72 ou 9.14.4.28 devraient se reporter aux procédures liées au chargeur de démarrage de Cisco et/ou à l’échec de la vérification de ROMMON^{Note de bas de page 6}. Si le fichier « firmware-update.log » se retrouve sur « disk0 » après la mise à niveau vers une version corrigée, les organisations sont invitées à conserver le fichier de journalisation et à aviser le Centre pour la cybersécurité au moyen des coordonnées fournies ci-dessous. Les instructions concernant le transfert du fichier de journalisation seront fournies dans le cadre du suivi qui sera effectué.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre ses 10 meilleures mesures de sécurité des TI^{Footnote 7}.

Si les destinataires relèvent des activités semblables à l'information fournie dans la présente alerte, on les invite à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.