Atakujący z Chin prowadzą szeroko zakrojone skanowanie sieci w poszukiwaniu podatnych zapór Cisco ASA, aby przejąć kontrolę nad organizacjami korzystającymi z tych urządzeń. Mimo że luki (CVE-2025-30333 i CVE-2025-20362) zostały załatane, grupy cyberprzestępcze nadal aktywnie polują na niezałatane instancje — a amerykańska CISA wydała pilną dyrektywę, by zastosować poprawki.
Atakujący z Chin w akcji
Chińska grupa cyberprzestępcza znana jako Storm-1849 prowadzi aktywne kampanie skanowania sieci w celu wykrycia zapór Cisco ASA, które nie zostały zaktualizowane. Według doniesień Palo Alto, skanowania trwały przez cały październik, co wskazuje na uporczywe poszukiwanie podatnych urządzeń.
Załatane luki, ale ryzyko nadal istnieje
Dwie krytyczne podatności — CVE-2025-30333 i CVE-2025-20362 — zostały załatane przez Cisco 25 września 2025 roku. Obie luki umożliwiały zdalne wykonanie kodu oraz eskalację uprawnień, co mogło prowadzić do przejęcia urządzeń ASA.
Jednak mimo dostępnych poprawek wiele instancji wciąż działa na niezałatanych wersjach, co stwarza lukę, którą chińscy atakujący starają się wykorzystać.
Reakcja instytucji i pilna dyrektywa
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wydała pilną dyrektywę – wszystkie agencje federalne muszą niezwłocznie zastosować poprawki dla podatnych zapór ASA. Pokazuje to wagę zagrożenia i skalę potencjalnych konsekwencji, jeżeli podatności nie zostaną usunięte.
Cel ataków: instytucje rządowe, instytucje obronne i sektor finansowy
Grupa Storm-1849 jest znana z ataków na cele wysokiego szczebla: instytucje rządowe, agencje obronne i organizacje finansowe. Te podmioty często korzystają z zapór Cisco ASA, co czyni je szczególnie atrakcyjnym celem dla atakujących.
Przejęcie ASA może spowodować:
- instalację złośliwego oprogramowania
- przechwytywanie ruchu sieciowego
- persystencje w strukturach sieciowych ofiary
Zalecenia dla firm i administratorów
- Natychmiastowa aktualizacja firmware
Zainstaluj poprawki Cisco ASA z września 2025 (obejmujące CVE-2025-30333 i CVE-2025-20362). - Segmentacja sieci
Ogranicz zaufanie do zapór ASA – stosuj zasady segmentacji, minimalizacji dostępu i whitelistingu. - Monitorowanie i audyt
Sprawdzaj logi zapór pod kątem nietypowych prób połączeń, skanowań i nieautoryzowanych zmian konfiguracyjnych. - Testy penetracyjne
Regularnie przeprowadzaj testy bezpieczeństwa, aby wykryć starsze, podatne urządzenia w infrastrukturze. - Szkolenia personelu
Upewnij się, że zespół IT jest świadomy ryzyka związanego z ASA i zna procedury reagowania na incydenty.
Choć Cisco udostępniło łatki dla krytycznych podatności w ASA, to realne zagrożenie nie zniknęło. Chińska grupa Storm-1849 nie pozostawia złudzeń — nadal skanuje i atakuje, a niezałatane urządzenia są łakomym kąskiem. Organizacje korzystające z zapór Cisco ASA powinny potraktować to ostrzeżenie bardzo poważnie i natychmiast podjąć działania zabezpieczające.
Jeśli potrzebujesz pomocy z audytem ASA, planem aktualizacji czy wdrożeniem monitora bezpieczeństwa — nasz zespół jest gotowy do wsparcia.
Artykuł powstał na postawie: Chinese hackers scanning, exploiting Cisco ASA firewalls used by governments worldwide
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
