헤드라인으로 시작된 것이 아니라 두 개의 별다른 로그 라인과 예기치 않은 재로드로 시작되었습니다. 대기 중이던 저희는 WebVPN 포털에 몇 건의 대용량 HTTPS 요청이 발생한 후 경고 없이 박스가 다시 나타나는 것을 목격했습니다. 아무도 "0일"이라고 말하지 않았습니다. 패킷 캡처, 서비스 지문, 버전 문자열, 노출 인벤토리 등 증거를 확보했습니다. 몇 분 만에 퍼즐은 Cisco의 권고로 향했습니다: CVE-2025-20333 에서 Cisco 보안 방화벽 ASA/FTD의 VPN 웹 서버(WebVPN/AnyConnect 포털). 공급업체의 글은 다음과 같이 설명합니다. 원격 코드 실행 원격 공격자가 달성할 수 있는 유효한 VPN 자격 증명으로 조작된 HTTPS 요청을 통해, 그리고 후속 업데이트에 따르면 새로운 공격 변종 및 예기치 않은 재로드/DoS. 많은 조직이 원격 액세스를 위해 의도적으로 노출하는 인터페이스에서 이 단어는 '지금 행동하세요'라는 간단한 지침으로 해석됩니다. 지금 바로 Cisco 자문에서 NVD 기록및 Cisco의 계속되는 공격 페이지를 정식 앵커로 지정하여 관리자에게 인용하는 소스이자 변경 티켓이 참조해야 하는 소스입니다.
어려운 부분은 "추상적으로 얼마나 무서운가"가 아닙니다. 어려운 부분은 아무것도 불을 붙이지 않고 격리하는 데 걸리는 평균 시간을 한 시간 단축하는 것입니다. 실제로는 노출을 줄이고, 인정할 수 있는 증거를 수집하고, 패치를 적용하고, 퇴행을 확인하고, 불을 계속 켜두는 등 그 한 시간이 승리의 시간입니다. 이 글의 나머지 부분은 여러분과 함께 그 길을 걸어갑니다.
이것이 "주말에 패치하는" 상황이 아닌 이유
그리고 SSL WebVPN/AnyConnect 포털 는 많은 네트워크에 의도적으로 노출되어 있으며, 원격 근무, 공급업체, 임시 계약자를 위한 문입니다. CVE-2025-20333 는 그 표면에 정사각형으로 배치되어 높은 도달 가능성 와 함께 고가치 컨텍스트. Cisco의 후속 업데이트에는 다음과 같이 언급되어 있습니다. 새로운 변형 그리고 예기치 않은 재로드즉, 패치되지 않은 게이트웨이는 단순한 거점이 아니라 최악의 업무 시간을 기다리며 원격으로 작동 가능한 중단을 유발할 수 있습니다. 우선순위는 완전히 무기화된 체인의 공개 여부가 아니라 포털이 노출되었는지 여부와 그 노출이 얼마나 중요한지에 따라 달라져야 합니다. 네, 패치가 필요합니다. 패치를 적용하기 전에 다음을 수행해야 합니다. 노출 뒤로 당기기 그리고 현재 상자의 모양을 캡처합니다..
영향을 받는 대상과 실제 루프를 닫는 방법
블로그의 메아리 방은 잊어버리고 출시에 중요한 질문에만 답할 수 있는 한 장으로 정리하세요.
| 실제로 답변이 필요한 질문 | 실행 가능한 결론 |
|---|---|
| 버그가 정확히 어디에 있나요? | 그리고 WebVPN/AnyConnect 포털 in ASA/FTD 세션 내 HTTP(S) 요청을 처리합니다. 이것이 게시된 원격 액세스 표면입니다. Cisco의 권고 및 NVD 기록과 비교하여 확인하세요. |
| 전제 조건 대 루머 | 시스코는 다음과 같이 말합니다. 인증 착취; 연구자들은 연쇄적 착취에 대해 논의합니다. CVE-2025-20362 를 사용하여 특정 설정에서 전제 조건을 완화할 수 있습니다. 공급업체의 위협 모델링을 대체하는 것이 아니라 위협 모델링에 체인을 사용하세요. 첫 번째 수정 매트릭스. |
| 재로드/DoS 보고서가 필요한 이유는 무엇인가요? | Cisco의 업데이트는 다음과 같이 말합니다. 새로운 변형 신호와 비정상적인 리로드에 대한 현장 보고를 수집합니다. 그렇기 때문에 노출 최소화를 통해 유지보수 기간에 구애받지 않고 시간을 확보할 수 있습니다. |
| 완화 조치는 그만한 가치가 있나요? | 예, 브레이크로서. 클라이언트리스 WebVPN을 비활성화하고 IKEv2 클라이언트 서비스를 검토하면 패치를 준비하는 동안 폭발 반경이 줄어듭니다. 완화는 수정이 아닙니다. |
| 수정 사항을 어떻게 고정하나요? | 사용 Cisco 소프트웨어 검사기 를 사용하여 열차의 첫 번째 수정 릴리스. 각주가 아닌 각주 이전/이후 지문 및 버전 문자열을 감사 아티팩트로 취급하세요. |
첫 1시간 동안 실제로 수행한 작업
저희는 최소한의 시간으로 최대의 리스크를 줄이기 위해 응답을 세 가지 움직임으로 나누었습니다.
노출 제한. 변경 기간 동안과 비즈니스 결재를 통해 WebVPN 진입 지점을 줄이거나 일시적으로 비활성화하고 인터페이스 전반에서 IKEv2 클라이언트 서비스를 사용하도록 했습니다. 섹시하지는 않지만 변경 티켓에 추가하는 몇 줄이 "운이 좋았다"와 "타깃을 덜 공격하게 만들었다"의 차이를 결정합니다.
터미널 구성
NO WEBVPN ! 현재 클라이언트 없는 WebVPN 비활성화 (열차에 대한 Cisco 지침을 따름)
암호화 IKEV2 외부 활성화! 인터페이스별 노출 및 정책을 검토/조정합니다.
exit
메모리 쓰기
선물 사진 찍기. 기준선을 문서화하기 전에 패치가 적용될 때까지 기다리지 마세요. 배너, 헤더, 포털 페이지의 첫 30줄을 가져와서 타임스탬프가 있는 "이전"을 설정하세요. 패치 후에는 동일한 아티팩트를 다시 가져오세요. 사실관계가 다르면 논쟁이 사라지는 경향이 있습니다.
# 포트 및 서비스 버전 확인
nmap -sV -p 443,8443,9443
# 인식 가능한 포털 경로 가져오기(경로는 다양합니다. 예시입니다.)
curl -k -I https:///+webvpn+/index.html
curl -k https:///+webvpn+/index.html | head -n 30
감사 가능한 패치 적용. 티켓에는 지문 이전/이후, 정확한 버전 문자열 및 이미지 이름, 변경 기간 및 승인, 서명된 비즈니스 영향 진술서 등 네 가지 증빙 자료가 들어 있었습니다. 다음 변종이 출시되면 다른 블로그 게시물보다 이 출처 증명이 더 필요할 것입니다.
공격 경로에 대해 생각하는 방법과 실험실에서 검증하는 방법
실험실에서는 유효한 테스트 계정 와 실제 웹VPN 세션을 연결하여 올바른 컨텍스트에서 생활하세요. 거기서부터 포털 엔드포인트에서 조작된 입력을 유도하고 다음 사항을 관찰하세요. 비정상적인 재로드, 권한 실수 또는 상태 머신 혼동. 실제 장치와 기차가 다르기 때문에 "작동하는 것 같습니다"는 다음과 같이 조정해야 합니다. Cisco의 고정 릴리스 매트릭스고정 이미지에 매핑할 수 있는 유일한 강력한 클레임입니다.
툴링의 경우 HTTP 기록, PCAP 및 콘솔 로그 는 이야기를 깔끔하게 설명합니다. 아래 코드 조각은 익스플로잇이 아니라 세션 바인딩 요청을 보여주는 스켈레톤입니다. 엔드포인트와 매개변수를 승인된 대상에 맞게 조정할 수 있습니다.
가져오기 요청
base = "https://"
s = requests.Session()
s.verify = 거짓 # 랩 전용, 안전하게 제어 유지
# 세션 쿠키를 인증하고 캡처했다고 가정합니다.
s.cookies.set("webvpnCookie", "")
페이로드 = {"kw": "A" * 8192, "redir": "/+CSCOE+/portal.html"} # 예시 필드만
r = s.post(f"{base}/+webvpn+/index.html", data=payload, timeout=10)
print(r.status_code, r.headers.get("X-Device-Id"))
print(r.text[:2000])
탐색하고 싶은 경우 체인 현실적으로, 에뮬레이션 CVE-2025-20362 를 먼저 사용하여 예상치 못한 발판을 마련한 다음 20333을 시도하세요. 하지만 해결책을 마련할 때는 첫 번째 수정 이미지; 연구 기반 체인은 모델을 확장할 뿐 공급업체의 기준을 대체하지는 않습니다.
일회성 인시던트를 반복 가능한 근육으로 만들기
모든 사건은 다음 사건을 지루하게 만들 수 있는 기회입니다. 우리는 유선 발견 → 트리거 → 증거 → 회귀 → 보고 를 단일 레인으로 전환합니다. 경계 스윕 중에는 후보 WebVPN 엔드포인트에 태그를 지정하고, 유효성 검사 중에는 다음을 전송합니다. 멀티 인코딩 입력 그리고 상태 머신 리플레이이상 징후가 나타나면 자동으로 수집합니다. HTTP 기록, PCAP, 크래시/재로드 이벤트, 콘솔 로그패치 후 우리는 A/B 회귀. 그 결과는 영웅적인 것이 아니라 누군가가 "이 변형이 새로운 건가요?"라고 말할 때마다 조용하고 신뢰할 수 있는 반복입니다.
펜리전트를 사용하는 경우, 먼저 사람과 증거를 공유하세요.
펜리전트는 툴체인을 포기하라고 요구하지 않습니다. 단순히 증거 우선 자동화를 기존 작업 방식에 적용하기만 하면 됩니다. 에이전트는 인증된 세션 내에서 매개변수를 열거하고 변경하며, 엔지니어는 의심스러운 행동을 실시간으로 판단하고, 성공적인 경로를 조직 수준으로 확장합니다. 회귀 테스트 다음번에 ASA/FTD 업그레이드를 롤업할 때 자동으로 실행됩니다. 그리고 변경 위원회를 설득해야 하는 경우에는 Cisco 자문에서 NVD 기록및 계속되는 공격 페이지 - 오늘 인용해야 하는 출처와 동일한 출처입니다.
권위 있는 링크
- Cisco 보안 자문 - 보안 자문 cisco-sa-asaftd-webvpn-z5xP8EUB: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
- NVD - CVE-2025-20333: https://nvd.nist.gov/vuln/detail/CVE-2025-20333
- Cisco - Cisco 방화벽에 대한 공격이 계속되고 있습니다: https://sec.cloudapps.cisco.com/security/center/resources/continued-attacks-cisco-firewalls
CVE 익스플로잇 방법
Korean 
English 
German 
French 
Spanish 
Portuguese 
Japanese 
Hindi 
Arabic 
Turkish 
Hebrew