Az elmúlt hetekben egy kiterjedt kínai hátterű kémkedési kampány került felszínre.
A célpontok: Cisco Adaptive Security Appliance (ASA) és Secure Firewall Threat Defense (FTD) rendszerek – vagyis azok a tűzfalak és VPN-eszközök, amelyek számos kormányzati, védelmi és vállalati hálózat határán működnek.
A Palo Alto Networks Unit 42 szerint a Storm-1849 (más néven UAT4356) nevű csoport 2025 októberében világszerte aktívan szkennelte és támadta a sérülékeny ASA-eszközöket.
Csak októberben 23 amerikai kormányzati IP-címen figyeltek meg exploitálási kísérletet, és több tucat más célpontot Európában, Ázsiában és Ausztráliában.
🧨 Kihasznált sebezhetőségek
CVE-2025-20333
CVSS 9.9 – Kritikus
📌 Típus: puffer-túlcsordulás a VPN-Webszerver komponensben
📌 Hatás: hitelesített távoli támadó tetszőleges kódot futtathat „root” jogosultsággal
📌 Ok: felhasználói bemenet hibás ellenőrzése HTTP(S) kérésekben
➡️ Teljes rendszer-kompromittálás, perzisztens boot-kit telepítés lehetséges.
CVE-2025-20362
CVSS 6.5 – Közepes
📌 Típus: jogosultságellenőrzés hiánya a WebVPN interfészben
📌 Hatás: hitelesítés nélküli hozzáférés korlátozott URL-ekhez
📌 Chaining: a 20333-as sérülékenységgel kombinálva teljes eszközátvétel.
A Cisco megerősítette, hogy a támadók már aktívan használják ezeket a hibákat, sőt perzisztens ROMMON-módosításokat (bootkit) is észleltek, amelyek frissítéseket és újraindításokat is túlélnek.
Az Egyesült Államok CISA ügynöksége ezért Emergency Directive 25-03 rendelkezést adott ki,
amely kötelezi a szövetségi intézményeket az ASA/FTD eszközök azonnali ellenőrzésére és izolálására.
🧾 Kompromittálás jelei (IOC – Indicators of Compromise)
Eszközön észlelhető nyomok
disk0:/firmware_update.logmódosulása vagy gyanús létrejötte- ROMMON / boot-változók megváltozása
- Firmware-verzió és boot-szektor közötti eltérés
- Hiányzó vagy „elhallgatott” syslog-események
Hálózati jelek
- Szokatlan VPN-bejelentkezések új, ismeretlen IP-kről
- ASA management plane-ről kifelé induló titkosított vagy ismeretlen kapcsolatok
- Nagy mennyiségű vagy nem megszokott HTTPS-forgalom a WebVPN portokon
Magatartási minták
- Ismeretlen adminisztrátori fiókok megjelenése
- ASA-processzor vagy memória terhelés-tüskék
- Reboot-napló és konfiguráció közötti eltérések
🧠 Miért pont a tűzfalak?
Az edge tűzfalak – különösen az ASA-család – stratégiai célpontok, mert:
- határvonalat képeznek a belső és külső hálózat között,
- kezelik a VPN-forgalmat és hitelesítéseket,
- gyakran ritkán frissülnek (üzemeltetési kockázatok miatt),
- és több funkciót egyesítenek (IPS, AV, VPN, WebVPN) – vagyis „egypontos bukás”.
A támadási lánc jellemző menete:
1️⃣ Internet-szkennelés ASA-eszközök után
2️⃣ CVE-2025-20362 → hitelesítés megkerülése
3️⃣ CVE-2025-20333 → root kódvégrehajtás
4️⃣ LINE VIPER / RayInitiator implantátumok telepítése
5️⃣ Bootkit → perzisztencia ROMMON-szinten
6️⃣ Adatszivárgás és hátsóajtó-hálózat létrehozása
🕵️♀️ Származás és motiváció
Az aktivitást a Storm-1849 nevű csoporthoz kötik, amely kapcsolatban áll a 2024-es ArcaneDoor kampányokkal.
A támadási infrastruktúrában kínai IP-blokkok, valamint kínai fejlesztésű anti-cenzúra eszközök is megjelentek.
A célpontok köre alapján egyértelmű: kémkedési célú művelet, nem pénzszerzés.
Kormányzati, védelmi, pénzügyi és infrastruktúra-rendszereket céloznak.
🌍 Globális kiterjedés
Becslések szerint 50 000+ internetre kötött ASA/FTD eszköz maradt sebezhető 2025 szeptemberében:
- ebből ~20 000 az USA-ban,
- jelentős szám Németországban, az Egyesült Királyságban, Franciaországban, Hollandiában, Spanyolországban, Ausztráliában, Norvégiában, valamint Közép-Európában is.
Egyetlen feltört tűzfalon keresztül láncolt támadások indíthatók egész régiók ellen.
⚙️ Mit kell azonnal megtenni
1️⃣ Eszközleltár
- Térképezd fel az összes ASA/FTD eszközt (on-prem, DMZ, cloud edge).
- Ellenőrizd a verziókat:
- ASA 9.12, 9.14, 9.16–9.20, 9.22–9.23
- FTD 7.0–7.7 = sebezhető
2️⃣ Frissítés
- Azonnal telepítsd a Cisco biztonsági frissítéseket (2025-10).
- Ha azonnali patch nem lehetséges → tiltsd a WebVPN/SSL VPN funkciót ideiglenesen.
3️⃣ Forenzika
- Ellenőrizd a firmware-naplókat (
firmware_update.log, ROMMON változók). - Vizsgáld meg az admin-fiókokat, syslog-szüneteket, memória-dumpokat.
4️⃣ Helyreállítás
- Gyári visszaállítás, majd új firmware telepítés.
- Kulcsok, jelszavak, tanúsítványok újragenerálása.
- Firmware-bootkit eltávolítása (ha szükséges, Cisco TAC bevonásával).
5️⃣ Stratégiai lépések
- Az ASA/FTD eszközöket vond be a kritikus eszközök prioritási listájába.
- Csökkentsd a „disclosure to patch” időtartamot.
- Tervezd meg a Zero Trust architektúra irányába történő átállást.
🧩 Rövid reagálási ellenőrzőlista (SOC / IT vezetőknek)
| Teendő | Határidő | Kész? |
|---|---|---|
| ASA/FTD verzió-azonosítás | azonnal | ☐ |
| WebVPN/SSL VPN letiltása, ha sebezhető | 24 h | ☐ |
| Firmware frissítések telepítése | 48 h | ☐ |
| Syslog és boot-log ellenőrzés | 48 h | ☐ |
| Admin-fiókok felülvizsgálata | 72 h | ☐ |
| Jelszavak / kulcsok újragenerálása | 72 h | ☐ |
| CISA- / NKI-értesítés (ha releváns) | 72 h | ☐ |
💬 Összegzés
Ez a kampány nem opportunista támadás, hanem egy koordinált, állami szintű kiberkémkedés.
A támadók autentikáció-megkerülést, root-szintű kódvégrehajtást és bootkit-perzisztenciát kombinálnak.
A tűzfal – amit sokáig „csak hálózati infrastruktúrának” tekintettek – most a támadások első frontvonala.
Üzenet minden szervezetnek:
➡️ Patchesd most.
➡️ Feltételezd a kompromittálást.
➡️ Keresd a bizonyítékokat.
➡️ Kezeld a tűzfalat stratégiai kockázatként, ne csak hálózati komponensként.
