Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat mengeluarkan Emergency Directive 25-03 pada 25 September 2025, yang mewajibkan instansi federal segera mengamankan perangkat Cisco ASA (Adaptive Security Appliance) dan Firewall Threat Defense (FTD) dari dua kerentanan zero-day berbahaya: CVE-2025-20333 dan CVE-2025-20362.
Perintah Darurat CISA
- Semua instansi FCEB (Federal Civilian Executive Branch) diwajibkan:
- Mengidentifikasi seluruh perangkat Cisco ASA dan Firepower di jaringan.
- Mengumpulkan forensik serta menilai potensi kompromi menggunakan prosedur dan alat dari CISA.
- Memutus koneksi perangkat yang telah dikompromi.
- Memperbarui perangkat yang masih digunakan dan belum terdampak sebelum 26 September 2025, pukul 12 PM EDT.
- Perangkat ASA yang sudah end-of-support wajib diputus permanen dari jaringan paling lambat 30 September 2025.
Risiko Serangan
CISA memperingatkan bahwa kampanye eksploitasi ini melibatkan eksekusi kode jarak jauh tanpa autentikasi dan bahkan manipulasi ROM untuk memastikan malware tetap bertahan meski perangkat di-reboot atau diperbarui.
UK National Cyber Security Centre (NCSC) juga mengungkap bahwa pelaku menargetkan perangkat 5500-X series tanpa secure boot, dengan malware:
- LINE VIPER → loader shellcode user-mode
- RayInitiator → bootkit GRUB yang bisa bertahan setelah reboot dan upgrade firmware
Tujuannya: menginstal malware, mengeksekusi perintah, hingga mencuri data dari perangkat yang dikompromi.
Keterkaitan dengan Kampanye ArcaneDoor
Cisco mengonfirmasi serangan ini terkait kampanye ArcaneDoor, yang sejak November 2023 mengeksploitasi zero-day ASA/FTD lain (CVE-2024-20353 dan CVE-2024-20359) untuk membobol jaringan pemerintah di seluruh dunia.
- Grup peretas UAT4356 (alias STORM-1849 menurut Microsoft) diketahui sudah menguji exploit sejak Juli 2023.
- Dalam serangan sebelumnya, mereka menggunakan malware baru bernama Line Dancer (in-memory shellcode loader) dan Line Runner (backdoor) untuk mempertahankan akses.
Patch Tambahan
Selain dua zero-day yang sedang dieksploitasi, Cisco juga merilis patch untuk kerentanan kritis CVE-2025-20363 pada ASA dan Cisco IOS, yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi. Namun, Cisco menyatakan belum ada bukti eksploitasi aktif terhadap celah tersebut.
Imbauan
CISA menekankan bahwa serangan ini luas, canggih, dan berisiko tinggi bagi jaringan korban. Instansi diwajibkan segera mengambil langkah mitigasi agar perangkat tidak dijadikan pintu masuk serangan lanjutan.
Sumber: CISA