Cisco ASA / FTD Critical CVE Roundup 2025 — 5 ตัวที่ต้องรู้
รวม 5 ช่องโหว่ระดับ Critical ที่พบใน Cisco ASA และ FTD ปี 2025 ตั้งแต่ RCE pre-auth ไปจนถึง Backdoor ที่รอดแม้ patch แล้ว — อ่านก่อนตัดสินใจว่า patch เพียงพอหรือถึงเวลาต้องเปลี่ยนเครื่อง
1. ทำไมถึงสำคัญ — สถานะ ASA/FTD ในไทย ปี 2025#
Cisco ASA ยังคงเป็น firewall หลักขององค์กรไทยมากกว่า 70% โดยเฉพาะในภาค banking, healthcare, manufacturing และ SME ระดับกลาง-ใหญ่ที่ลงทุนซื้ออุปกรณ์มาตั้งแต่ช่วงปี 2015-2020 หลายองค์กรยังใช้รุ่น ASA 5506-X, 5508-X, 5516-X หรือ Firepower 2100 ที่เข้าสู่สถานะ End-of-Sale / End-of-Life เรียบร้อยแล้ว
ปี 2025 เป็นปีที่วิกฤตเป็นพิเศษสำหรับ ASA/FTD fleet เพราะ Cisco PSIRT เปิดเผยช่องโหว่ระดับ Critical หลายรายการในครั้งเดียว และ CISA (หน่วยงาน cybersecurity ของสหรัฐฯ) ถึงขั้นออก Emergency Directive ED 25-03 สั่งให้หน่วยงานรัฐบาลกลางดำเนินการทันที — ซึ่งนั่นบอกระดับความร้ายแรงได้ชัดเจนที่สุด
ช่องโหว่เหล่านี้ยิ่งน่ากังวลเพราะถูกโยงกับกลุ่ม APT ที่ CISA และ Cisco Talos เรียกว่า UAT-4356 (หรือที่รู้จักจากแคมเปญ ArcaneDoor) ซึ่งมีเป้าหมายหลักเป็นโครงสร้างพื้นฐาน network ของภาครัฐและองค์กรสำคัญทั่วโลก รวมถึงภูมิภาคเอเชียตะวันออกเฉียงใต้
2. ภาพรวม 5 CVE Critical ประจำปี 2025#
| CVE ID | CVSS | Vector | Component | Fixed in (ASA) | KEV? |
|---|---|---|---|---|---|
CVE-2025-20362 |
6.5 | Network / Pre-auth | VPN Web Server — auth bypass | 9.12.4.72+, 9.22.2.14+ |
✅ Yes |
CVE-2025-20333 |
9.9 | Network / Auth | VPN Web Server — buffer overflow RCE | 9.12.4.72+, 9.22.2.14+ |
✅ Yes |
CVE-2025-20363 |
9.0 | Network / Pre-auth | Web Services — RCE (ASA, FTD, IOS XE) | 9.12.4.72+, FTD 7.0.8.1+ |
⚠️ High risk |
CVE-2025-20134 |
8.6 | Network / Pre-auth | SSL/TLS Certificate Parsing — DoS | 9.14.4.28+, 9.20.4.10+ |
❌ No |
| FIRESTARTER | N/A | Post-exploit Persistence | LINA hooking — survives firmware update | Power cycle + rebuild required | ✅ CISA AR26-113A |
CVE-2025-20362 + CVE-2025-20333 สามารถ chain กันได้ — ผู้โจมตีใช้ CVE-2025-20362 bypass authentication ก่อน แล้วต่อด้วย CVE-2025-20333 เพื่อ execute code เป็น root โดยไม่ต้องมี credentials ใดๆ เลย
3. CVE-2025-20362 — Pre-auth Authorization Bypass (CVSS 6.5)#
ประเภท: Missing Authorization / Improper Input Validation
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
สถานะใน KEV: เพิ่มใน CISA KEV เดือนกันยายน 2025
ทำงานอย่างไร#
ช่องโหว่อยู่ใน VPN web server ของ ASA และ FTD ที่ไม่ตรวจสอบ HTTP request อย่างถูกต้องก่อน route ไปยัง endpoint ที่ต้องการ authentication ผู้โจมตีจากภายนอก (ไม่ต้องมี account) สามารถส่ง HTTP request ที่ crafted ไปยัง restricted URL endpoints และเข้าถึงได้โดยตรง
แม้ CVSS จะอยู่ที่ 6.5 แต่ช่องโหว่นี้ อันตรายกว่าตัวเลขบอก เพราะถูกใช้เป็น stepping stone สำหรับ CVE-2025-20333 ในการโจมตีแบบ chain
Affected versions#
- Cisco ASA: ก่อน
9.12.4.72,9.14.4.28,9.16.4.85,9.17.1.45,9.18.4.67,9.19.1.42,9.20.4.10,9.22.2.14,9.23.1.19 - Cisco FTD: ก่อน
7.0.8.1
Mitigation#
อัปเดตเป็น fixed release ทันที ไม่มี workaround ที่ใช้ได้จริงสำหรับการปิดช่องโหว่นี้โดยไม่ patch
4. CVE-2025-20333 — Authenticated RCE as Root (CVSS 9.9)#
ประเภท: Buffer Overflow / Remote Code Execution
Vector: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
สถานะใน KEV: เพิ่มใน CISA KEV เดือนกันยายน 2025 — actively exploited
ทำงานอย่างไร#
ช่องโหว่อยู่ใน VPN Web Server process ของ ASA/FTD เป็น buffer overflow ที่เกิดจาก improper validation ของ user-supplied input ใน HTTP(S) request หากผู้โจมตีมี VPN user credentials แม้แต่ระดับต่ำสุด หรือใช้ CVE-2025-20362 bypass auth ก่อน ก็สามารถส่ง crafted HTTP request เพื่อ execute arbitrary code ในฐานะ root ได้ทันที
ผลที่ตามมาคือ complete compromise ของอุปกรณ์ — config, traffic, credentials ทั้งหมดตกอยู่ในมือผู้โจมตี และมักใช้เป็นจุดเริ่มต้นฝัง backdoor อย่าง FIRESTARTER ต่อ
Affected versions#
เหมือนกับ CVE-2025-20362 — ASA และ FTD ทุก release ก่อน fixed version ที่ระบุข้างต้น
Cisco PSIRT ยืนยันว่า มีการ exploit CVE-2025-20333 ในสภาพแวดล้อมจริงแล้ว ก่อนที่จะมีการเปิดเผย advisory เสียอีก (zero-day exploitation) — รีบ patch โดยด่วน
Mitigation#
- อัปเดต firmware เป็น fixed release
- ตรวจสอบ Compromise Assessment ก่อนและหลัง patch (เพราะ FIRESTARTER ไม่หายไปเอง)
- จำกัด access ไปยัง VPN web interface จาก untrusted networks
5. CVE-2025-20363 — Pre-auth RCE บน Web Services (CVSS 9.0)#
ประเภท: Remote Code Execution — Unauthenticated
Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
สถานะใน KEV: ยังไม่มีการยืนยัน exploit in-the-wild แต่ระดับ CVSS สูงและ CERT ทั่วโลกออก advisory ครอบคลุม
ทำงานอย่างไร#
CVE-2025-20363 อยู่ใน Web Services layer ซึ่งต่างจาก CVE สองตัวก่อนหน้าที่อยู่ใน VPN component โดยเฉพาะ สาเหตุเหมือนกัน — improper validation ของ input ใน HTTP request แต่ช่องโหว่นี้ไม่ต้องการ authentication เลย ผู้โจมตีจากภายนอกสามารถ execute code ในฐานะ root ได้โดยตรง
ความน่ากังวลเพิ่มเติมคือ CVE นี้ไม่ได้กระทบแค่ ASA/FTD แต่ยังรวมถึง Cisco IOS, IOS XE และ IOS XR ด้วย (แม้ vector จะต่างกัน — ต้องการ low-privilege auth สำหรับ IOS)
Affected versions (ASA/FTD)#
เหมือนกับ CVE-2025-20333 และ CVE-2025-20362
Mitigation#
อัปเดตเป็น fixed release เท่านั้น ไม่มี workaround ที่สมบูรณ์
6. CVE-2025-20134 — Pre-auth DoS ผ่าน SSL/TLS Certificate (CVSS 8.6)#
ประเภท: Double Free / Denial of Service
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
สถานะใน KEV: ไม่มีใน KEV แต่ CVSS 8.6 และ pre-auth ทำให้เป็นความเสี่ยงจริงสำหรับ production
ทำงานอย่างไร#
ช่องโหว่อยู่ในกระบวนการ parse SSL/TLS certificate ของ ASA และ FTD มีลักษณะเป็น double free — การคืน memory ซ้ำซ้อนที่ทำให้ process crash และอุปกรณ์ reload ผู้โจมตีไม่ต้องมี account ใดๆ เพียงแค่ส่ง SSL/TLS handshake พร้อม malformed certificate ก็ทำให้ firewall ดับได้
สำหรับองค์กรที่ใช้ ASA เป็น VPN gateway หลัก ผลกระทบคือ VPN downtime ทันที ซึ่งในบริบทการโจมตีอาจใช้ทำ distraction ก่อน lateral movement
Affected versions#
- ASA: ก่อน
9.14.4.28และ9.20.4.10 - FTD: ตรวจสอบ Cisco PSIRT advisory
cisco-sa-asaftd-ssltls-dos-eHw76vZe
Mitigation#
- อัปเดตเป็น fixed release
- พิจารณาใช้ ACL จำกัด SSL/TLS connection จาก untrusted source ชั่วคราว
7. FIRESTARTER Backdoor — Persistence ที่รอดแม้ Patch แล้ว#
ประเภท: Post-exploitation Persistence Malware (ELF)
อ้างอิง: CISA Analysis Report AR26-113A, Cisco Talos Advisory
ผู้อยู่เบื้องหลัง: UAT-4356 (กลุ่ม state-sponsored espionage, ArcaneDoor campaign)
ทำงานอย่างไร#
FIRESTARTER ไม่ใช่ CVE แต่เป็น malware ที่ถูก deploy หลังจาก exploit CVE-2025-20362 และ CVE-2025-20333 สำเร็จ เป็น Linux ELF binary ที่ออกแบบมาโดยเฉพาะสำหรับ Cisco Firepower และ Secure Firewall โดยมีคุณสมบัติที่ทำให้ทีม security กังวลมาก
- Hook เข้า LINA — LINA คือ core engine ที่จัดการ network processing ของ ASA/FTD การ hook เข้าไปทำให้ backdoor ทำงานในระดับที่ลึกมาก
- Survive firmware update — แม้จะ patch เป็น fixed version แล้ว FIRESTARTER ยังอยู่บนอุปกรณ์ เพราะไม่ถูกลบด้วยกระบวนการ update ปกติ
- Survive reboot — detect termination signal และ relaunch ตัวเองได้
- กำจัดได้ด้วย hard power cycle เท่านั้น — และอาจต้อง rebuild ระบบจาก scratch
CISA พบ FIRESTARTER บนอุปกรณ์ Cisco Firepower ของ US federal agency และยืนยันว่า backdoor นี้ยังทำงานอยู่เป็นเวลาหลายเดือน หลังจาก patch แล้ว — หากองค์กรของคุณ expose VPN web interface และยังไม่ได้ทำ Compromise Assessment ให้ถือว่า compromised ไว้ก่อน
Mitigation#
- อัปเดต firmware เป็น fixed release ก่อน
- ทำ Compromise Assessment ด้วย Cisco PSIRT tool หรือ third-party forensics
- หากพบ indicator of compromise ให้ power cycle (ปิดไฟจริงๆ ไม่ใช่แค่ reboot) และ rebuild config ใหม่
- ตรวจสอบ outbound connection จาก firewall ไปยัง IP ที่ไม่คุ้นเคย
8. ASA EoL Replacement Plan — เครื่องไหนต้องวางแผนเปลี่ยน#
รุ่นที่ End-of-Sale / End-of-Life แล้วในปี 2025#
| รุ่น | สถานะ | หมายเหตุ |
|---|---|---|
| ASA 5506-X, 5508-X, 5516-X | EoL — ไม่มี patch ใหม่ | รุ่นนี้ไม่ได้รับ fix สำหรับ CVE ข้างต้น |
| ASA Release 9.16, 9.18, 9.19 | End-of-Sale พ.ย. 2025 | ยังได้รับ patch แต่ window สั้นลง |
| Firepower 2100 Series | End-of-Sale พ.ค. 2025 | ต้องวางแผน migrate |
| ASA ที่รัน FirePOWER Module (SFR) | FirePOWER subscription EoL | ไม่ได้รับ feature update |
ทำไม Patch เพียงพอไม่ได้อีกต่อไป#
เหตุผลที่ 1 — EoL ไม่ได้ patch ทุก CVE: รุ่น ASA 5506-X ที่ EoL แล้วไม่ได้รับ 9.12.4.72 ที่ fix CVE-2025-20333 และ CVE-2025-20362 หมายความว่าช่องโหว่ระดับ Critical เหล่านี้จะอยู่บนอุปกรณ์ตลอดไป
เหตุผลที่ 2 — FIRESTARTER รอดแม้ patch: แม้รุ่นที่ยังได้รับ patch ก็ยังมีความเสี่ยงหากถูก compromise ก่อนหน้า เพราะ backdoor ไม่หายไปเองหลัง update
เหตุผลที่ 3 — Attack surface ขยาย: ASA architecture เก่าไม่ได้ออกแบบมาสำหรับ Zero Trust หรือ microsegmentation ที่องค์กรสมัยใหม่ต้องการ
แนวทาง Replacement#
- Short-term: Patch เป็น fixed release ทันที + ทำ Compromise Assessment
- Medium-term: ประเมิน Cisco Secure Firewall 1000/3100/4200 series ที่รัน FTD และได้รับ support ยาวกว่า
- Long-term: พิจารณาเปลี่ยนสถาปัตยกรรมไปสู่ NGFW ที่รองรับ SD-WAN หรือ SASE ควบคู่กัน
สำหรับองค์กรที่ใช้ ASA รุ่น EoL จำนวนมาก ควรจัดลำดับ priority ตาม exposure — เครื่องที่ expose VPN / remote access interface ออก internet ต้อง replace หรือ isolate ก่อน
9. สรุป + Action Priority#
ปี 2025 พิสูจน์ว่า ASA/FTD ไม่ใช่แค่เรื่อง feature update อีกต่อไป แต่เป็นเรื่อง survival ขององค์กร ช่องโหว่ 3 ตัวแรก (CVE-2025-20362, CVE-2025-20333, CVE-2025-20363) สามารถ chain กันได้เป็น pre-auth RCE as root และกลุ่ม APT ระดับรัฐบาลกำลังใช้งานอยู่จริง
Checklist สำหรับ network/security team#
- ตรวจสอบ firmware version ปัจจุบันของ ASA/FTD ทุกตัวใน fleet ทันที
- Patch เป็น fixed release — อ้างอิง version table ใน section ที่ 2
- ทำ Compromise Assessment ก่อนและหลัง patch โดยเฉพาะอุปกรณ์ที่ expose VPN interface
- ตรวจสอบ EoL status ของแต่ละรุ่น — รุ่นที่ EoL แล้วต้องวางแผน replace
- จำกัด access ไปยัง management interface และ VPN web server จาก untrusted network
- Monitor outbound traffic จาก firewall เพื่อหา C2 connection ของ FIRESTARTER
หากพบว่าอุปกรณ์ถูก compromise ด้วย FIRESTARTER การ patch หรือ reboot ไม่เพียงพอ — ต้องทำ hard power cycle และ rebuild configuration ใหม่ทั้งหมด พร้อม rotate credentials ทุกตัวที่ผ่านอุปกรณ์นั้น
ช่องโหว่เหล่านี้ไม่ใช่เรื่องของ "เดี๋ยวค่อย patch" — เป็นเรื่องที่ต้องดำเนินการวันนี้ หากทีมของคุณมีข้อสงสัยเกี่ยวกับ patch path หรือต้องการ assess ว่า fleet ปลอดภัยหรือไม่ C9NETWORK พร้อมให้บริการ audit ASA/FTD fleet พร้อมวิเคราะห์ EoL risk และวางแผน replacement อย่างเป็นระบบ ติดต่อทีมผู้เชี่ยวชาญของเราเพื่อนัดหมายการประเมินได้เลย