فایروال‌های سری Cisco ASA 5500-X  به‌عنوان یکی از تجهیزات مهم امنیتی در شبکه‌های سازمانی، طی سال‌های اخیر مورد هدف حملات پیچیده و سوءاستفاده‌های جدی قرار گرفته‌اند. این مقاله از سلام دیجی به بررسی نقاط ضعف بحرانی، نمونه‌هایی از CVEهای حیاتی و چگونگی بهره‌برداری مهاجمان می‌پردازد. همچنین راهکارهایی برای کاهش ریسک و پوشش دفاعی ارائه می‌شود.

Cisco ASA  چیست؟

فایروال‌های Cisco ASA (Adaptive Security Appliance)  خانواده‌ای از تجهیزات امنیتی شرکت سیسکو هستند که برای محافظت از شبکه‌های سازمانی در برابر تهدیدات داخلی و خارجی طراحی شده‌اند. سری ASA ترکیبی از چندین قابلیت امنیتی را در یک دستگاه یکپارچه ارائه می‌دهد، از جمله فایروال Stateful، VPN (IPsec و SSL)، سیستم پیشگیری از نفوذ (IPS)، کنترل دسترسی مبتنی بر کاربر و آدرس، و مدیریت یکپارچه ترافیک شبکه. مدل‌های مختلف آن از سری‌های کوچک برای دفاتر شعبه تا نسخه‌های قدرتمند مانند Cisco ASA 5500-X  برای دیتاسنترها و سازمان‌های بزرگ عرضه شده‌اند. هدف اصلی ASA  ایجاد یک دروازه امن و مقیاس‌پذیر بین شبکه داخلی و اینترنت است تا همزمان هم امنیت و هم کارایی تضمین شود.

اهمیت امنیت در فایروال‌های ASA

فایروال‌های سری Cisco ASA به‌عنوان مرز اصلی امنیتی بین شبکه داخلی و اینترنت شناخته می‌شوند. هرگونه ضعف یا آسیب‌پذیری در این تجهیزات می‌تواند پیامدهای بسیار جدی به همراه داشته باشد؛ از اختلال در سرویس‌های حیاتی سازمان گرفته تا دسترسی غیرمجاز مهاجمان به داده‌های حساس. اهمیت این موضوع زمانی دوچندان می‌شود که بدانیم بسیاری از سازمان‌های بزرگ، دیتاسنترها و حتی زیرساخت‌های حیاتی هنوز به طور گسترده از سری ASA 5500-X استفاده می‌کنند. به همین دلیل، شناسایی و تحلیل ضعف‌های بحرانی در این محصولات یک ضرورت است. در ادامه به بررسی نقاط ضعف بحرانی این فایروال ها می پردازیم:

۱. نقاط ضعف فنی بحرانی

۱.۱ اجرای کد دلخواه از راه دور (Remote Code Execution)

یکی از جدی‌ترین ضعف‌ها، امکان اجرای کد دلخواه بر روی دستگاه آسیب‌پذیر است. برای نمونه، در سپتامبر ۲۰۲۵، دو ضعف بحرانی تحت شناسه‌های CVE-2025-20333 (امکان اجرای کد ناشناخته) و CVE-2025-20362 (دسترسی به نقاط محدود بدون احراز هویت) شناسایی شدند. در این حملات، مهاجمان توانستند به واسطه افزونۀ وب VPN، دستورات مخرب را اجرا کنند و دستگاه را تحت کنترل بگیرند.

در یکی از ضعف‌های جدید، رابط خدمات وب (web services interface) فایروال به دلیل کنترل ناکافی بر مقادیر ورودی، دچار آسیب‌پذیری Buffer overflow شده است.

۱.۲ اختلال در سرویس (Denial-of-Service / Crash)

تعدادی از ضعف‌ها باعث از کار افتادن دستگاه یا ریست شدن آن می‌شوند. برای مثال:

• CVE-2025-20243 : ضعف DoS ناشی از مقداردهی نامناسب ورودی در رابط مدیریت و وب VPN که می‌تواند باعث حلقه بی‌پایان شود.
• نسخه‌های قدیمی‌تر ASA در ماژول IPsec نیز با آسیب‌پذیری‌هایی مواجهند که مهاجم می‌تواند با ارسال بسته‌های خاص، دستگاه را ریبوت کند.
• CVE-2018-0296 : نقص در رابط وب ASA (ورودی HTTP مخرب) که ممکن است باعث ریست ناگهانی شود.
• CVE-2018-0101 : ضعف آزادسازی دوگانه (double free) در ماژول WebVPN که در صورت فعال بودن آن امکان اجرای کد یا ریست وجود دارد.

۱.۳ دور زدن کنترل دسترسی و دسترسی غیرمجاز

برخی ضعف‌ها امکان دور زدن سیاست‌های کنترل دسترسی را فراهم می‌آورند:

• ضعف‌هایی در ماژول NSG (Network Service Group)  موجب می‌شوند که حمله‌گر بتواند ACL تعریف‌شده را دور بزند و ترافیک غیرمجاز را عبور دهد.
• برخی ضعف‌ها در سرویس WebVPN امکان حملات XSS را فراهم می‌کنند که از طریق رابط وب، کاربر را به اجرای اسکریپت مخرب وا می‌دارند.
• ضعف در مکانیزم احراز هویت AAA و پروتکل SSL VPN باعث می‌شود مهاجمان بتوانند از مسیرهای غیرمنتظره دسترسی پیدا کنند یا دستگاه را ریست کنند.

۱.۴ نفوذ مداوم و پایداری مخفی

در حملات اخیر، از تکنیک‌هایی استفاده شده که امکان ادامه نفوذ حتی پس از راه‌اندازی مجدد یا به‌روزرسانی نرم‌افزار را فراهم می‌کنند. به عنوان مثال، بدافزارهایی مانند RayInitiator و LINE VIPER برای ایجاد حضور پایدار در فایروال‌ها به کار رفته‌اند.
مهاجمان در برخی موارد، با دستکاری در بوت لودر دستگاه، به سطحی پایین‌تر از سیستم عامل دسترسی یافته‌اند تا دستورات مخرب را حتی پس از ارتقاء اصلاحات نیز حفظ کنند.

۲. نمونه‌های مهم و مقایسه تاریخی

۳. چگونگی بهره‌برداری مهاجمان

در عملیاتی که از این نقص‌ها به‌صورت واقعی استفاده شده‌اند، مهاجمان روندی مشابه زیر را دنبال کرده‌اند:

1. شناسایی دستگاه‌های ASA با سرویس VPN وب فعال
2. استفاده از ضعفCVE-2025-20333 برای اجرای دستور دلخواه بر دستگاه
3. سپس از CVE-2025-20362  برای دسترسی به نقاط داخلی (API) بدون نیاز به ورود
4. دانلود ابزارها و بدافزارهایی مانند RayInitiator یا LINE VIPER برای باقی ماندن پس از راه‌اندازی مجدد
5. حذف یا غیرفعال کردن لاگ‌ها جهت مخفی‌کاری حمله
6. تغییر کلیدها، گواهی‌ها و تنظیمات حیاتی دستگاه

این شیوه حمله نشان‌دهنده خطر ویژه‌ای است که متوجه فایروال‌هایی است که به اینترنت متصلند و به‌روزرسانی نشده‌اند.

۴. پیامدها و اثرات امنیتی

• دسترس‌پذیری شبکه: اگر فایروال دچار اختلال شود، بخش‌های بزرگی از شبکه ممکن است بدون دفاع شوند.
• دسترسی داخلی به شبکه: با کنترل فایروال، مهاجم می‌تواند ترافیک عبوری را شنود، تغییر یا مسیریابی کند.
• دستکاری و جاسوسی: استفاده از تکنیک‌های پایداری، مهاجم می‌تواند مدت‌ها در شبکه باقی بماند بدون تشخیص.
• خطرات زنجیره‌ای: نفوذ به فایروال می‌تواند دروازه‌ای برای حمله به سیستم‌های داخلی شبکه باشد.

۵. راهکارها و توصیه‌های امنیتی

به‌روزرسانی فوری
اولین و مهم‌ترین گام، ارتقاء نرم‌افزار ASA به نسخه‌هایی است که آسیب‌پذیری‌ها در آن‌ها رفع شده است. مثلاً Cisco اعلام کرده که به‌روزرسانی‌های اصلاحی برای CVE-2025-20333 و CVE-2025-20362 در دسترس است.

غیرفعال کردن سرویس‌های غیرضروری
اگر سرویس VPN وب یا رابط وب مدیریت به اینترنت متصل نیست، آن را غیر فعال کنید تا سطح حمله کاهش یابد.

کنترل دسترسی محدود
فقط آدرس‌های IP شناخته شده (مثل شبکه مدیریت) را مجاز به دسترسی به رابط وب یا VPN کنید.

نظارت بر لاگ‌ها و تشخیص روزهای غیرمعمول
بررسی و ارسال لاگ به سامانه SIEM خارجی با محافظت در برابر دستکاری، می‌تواند به کشف نفوذ کمک کند.

بازنشانی کلیدها و گواهی‌ها پس از ارتقاء
اگر مشکوک به نفوذ باشید، کلیدها، گواهی‌ها و گذرواژه‌های دستگاه را تغییر داده و تنظیمات امنیتی را بازبینی کنید.

پروانه‌بندی سخت‌تر / Zero Trust داخلی
دسترسی‌ها را به حداقل ممکن محدود و اصل Least privilegeرا پیاده کنید.

تست نفوذ و ارزیابی دوره‌ای
دستگاه‌های ASA را به‌طور منظم با ابزارهای بررسی آسیب‌پذیری و تست نفوذ بررسی کنید تا نقاط ضعف جدید شناسایی شوند.

Cisco Firepower  به‌عنوان جایگزین ASA

با گذشت زمان، سیسکو فایروال‌های Cisco Firepower Threat Defense (FTD) را به‌عنوان جایگزین نسل بعدی سری ASA معرفی کرد.  Firepower علاوه بر عملکرد پایه‌ای ASA مثل فایروال Stateful و VPN، امکانات پیشرفته‌تری را به صورت بومی در خود جای داده است. از جمله NGIPS (سیستم پیشگیری از نفوذ نسل جدید)، فیلترینگ وب و اپلیکیشن‌ها، Advanced Malware Protection (AMP) و هوش تهدیدات Talos . این ترکیب باعث شده Firepower یک فایروال نسل جدید (NGFW) کامل باشد که هم امنیت لایه شبکه و هم امنیت لایه اپلیکیشن را پوشش می‌دهد. به همین دلیل، بسیاری از سازمان‌ها در حال مهاجرت از ASA به Firepower هستند، هرچند که به‌دلیل هزینه و پایداری، هنوز استفاده از ASA در شبکه‌های بزرگ و حساس رایج است.

مقایسه Cisco ASA و Cisco Firepower

نتیجه‌گیری

ضعف‌های بحرانی در فایروال‌های Cisco ASA 5500-X  بار دیگر نشان داد که حتی تجهیزات امنیتی پیشرفته هم مصون از آسیب‌پذیری نیستند. آسیب‌هایی مانند اجرای کد از راه دور (RCE)، حملات DoS و دسترسی غیرمجاز ثابت کرده‌اند که مهاجمان همواره مرزهای شبکه را هدف قرار می‌دهند و به محض یافتن روزنه‌ای در فایروال، از آن برای نفوذ گسترده استفاده می‌کنند.

هرچند که Cisco همچنان برای رفع این ضعف‌ها به‌روزرسانی ارائه می‌دهد، اما روند تکامل محصولات این شرکت به سمت Cisco Firepower Threat Defense (FTD)  حرکت کرده است. Firepower با ارائه قابلیت‌های بومی مانند NGIPS، AMP  و هوش تهدیدات Talos، جایگزینی قدرتمند برای ASA به شمار می‌آید و سازمان‌ها را قادر می‌سازد تا هم امنیت لایه شبکه و هم لایه اپلیکیشن را پوشش دهند.

بنابراین، بهترین استراتژی برای مدیران شبکه این است که علاوه بر به‌روزرسانی فوری ASAهای موجود، برای مهاجرت تدریجی به Firepower برنامه‌ریزی کنند. ترکیب این مهاجرت با سیاست‌های امنیتی مکمل مانند Zero Trust، مانیتورینگ لاگ‌ها و تست نفوذ دوره‌ای می‌تواند امنیتی پایدار و به‌روز برای زیرساخت‌های سازمانی فراهم کند.