Cisco insta a los clientes a parchear dos defectos de seguridad que impactan el servidor web VPN del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Feating Defense (FTD), que según él ha sido explotado en la naturaleza.
Las vulnerabilidades de día cero en cuestión se enumeran a continuación –
- CVE-2025-20333 (Puntuación CVSS: 9.9): una empuje incorrecta de la entrada proporcionada por el favorecido en HTTP (S) solicita una vulnerabilidad que podría permitir un atacante remoto y autenticado con credenciales de favorecido VPN válidas para ejecutar código despótico como root en un dispositivo afectado mediante el remisión de HTTP.
- CVE-2025-20362 (Puntuación CVSS: 6.5): una empuje incorrecta de la entrada suministrada por el favorecido en HTTP (S) solicitudes de vulnerabilidad que podría permitir que un atacante remoto no autenticado acceda a los puntos finales de URL restringidos sin autenticación mediante el remisión de solicitudes HTTP diseñadas
Cisco dijo que es consciente del “intento de explotación” de ambas vulnerabilidades, pero no reveló quién puede estar detrás de él, o cuán extendidos son los ataques. Se sospecha que las dos vulnerabilidades están siendo encadenadas para evitar la autenticación y ejecutar código zorro en electrodomésticos susceptibles.
Además acreditó a la Dirección de Señales Australianas, el Centro de Seguridad Cibernética Australiana (ACSC), el Centro Canadiense de Seguridad Cibernética, el Centro Franquista de Seguridad Cibernética del Reino Unido (NCSC) y la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) por apoyar la investigación.
CISA emite la Directiva de emergencia Ed 25-03
En una alerta separada, CISA dijo que está emitiendo una directiva de emergencia que insta a las agencias federales a identificar, analizar y mitigar los posibles compromisos con sensación inmediato. Adicionalmente, ambas vulnerabilidades se han anejo al catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que le da a las agencias 24 horas para aplicar las mitigaciones necesarias.
“CISA es consciente de una campaña de explotación continua de un actor de amenaza vanguardia dirigida a los dispositivos de seguridad adaptativos de Cisco (ASA)”, señaló la agencia.
“La campaña está muy extendida e implica explotar las vulnerabilidades de día cero para obtener la ejecución de código remoto no autenticado en ASA, así como manipular la memoria de solo recitación (ROM) para persistir a través de reiniciar y poner al día el sistema. Esta actividad presenta un peligro significativo para las redes de víctimas”.
La agencia incluso señaló que la actividad está vinculada a un peña de amenazas denominado Arcanedoor, que se identificó previamente como dirigido a dispositivos de red perimetral de varios proveedores, incluido Cisco, para ofrecer familias de malware como Line Runner y Line Dancer. La actividad se atribuyó a un actor de amenaza denominado UAT4356 (incluso conocido como Storm-1849).
“Este actor de amenaza ha demostrado una capacidad para modificar con éxito la ROM ASA al menos tan pronto como 2024”, agregó CISA. “Estas vulnerabilidades de día cero en la plataforma Cisco ASA incluso están presentes en versiones específicas de la potencia de fuego de Cisco. El comienzo seguro de los electrodomésticos de fuego detectaría la manipulación identificada de la ROM”.
