Cisco insta a los clientes a parchear dos defectos de seguridad que impactan el servidor web VPN del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Feating Defense (FTD), que según él ha sido explotado en la naturaleza.
Las vulnerabilidades de día cero en cuestión se enumeran a continuación –
- CVE-2025-20333 (Puntuación CVSS: 9.9): una validación incorrecta de la entrada proporcionada por el usuario en HTTP (S) solicita una vulnerabilidad que podría permitir un atacante remoto y autenticado con credenciales de usuario VPN válidas para ejecutar código arbitrario como root en un dispositivo afectado mediante el envío de HTTP.
- CVE-2025-20362 (Puntuación CVSS: 6.5): una validación incorrecta de la entrada suministrada por el usuario en HTTP (S) solicitudes de vulnerabilidad que podría permitir que un atacante remoto no autenticado acceda a los puntos finales de URL restringidos sin autenticación mediante el envío de solicitudes HTTP diseñadas
Cisco dijo que es consciente del «intento de explotación» de ambas vulnerabilidades, pero no reveló quién puede estar detrás de él, o cuán extendidos son los ataques. Se sospecha que las dos vulnerabilidades están siendo encadenadas para evitar la autenticación y ejecutar código malicioso en electrodomésticos susceptibles.
También acreditó a la Dirección de Señales Australianas, el Centro de Seguridad Cibernética Australiana (ACSC), el Centro Canadiense de Seguridad Cibernética, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) por apoyar la investigación.
CISA emite la Directiva de emergencia Ed 25-03
En una alerta separada, CISA dicho Está emitiendo una directiva de emergencia que insta a las agencias federales a identificar, analizar y mitigar los posibles compromisos con efecto inmediato. Además, ambas vulnerabilidades han sido agregado al catálogo de vulnerabilidades explotadas (KEV) conocidas, dando a las agencias 24 horas para aplicar las mitigaciones necesarias.
«CISA es consciente de una campaña de explotación continua de un actor de amenaza avanzada dirigida a los dispositivos de seguridad adaptativos de Cisco (ASA)», la agencia anotado.
«La campaña está muy extendida e implica explotar las vulnerabilidades de día cero para obtener la ejecución de código remoto no autenticado en ASA, así como manipular la memoria de solo lectura (ROM) para persistir a través de reiniciar y actualizar el sistema. Esta actividad presenta un riesgo significativo para las redes de víctimas».
La agencia también señaló que la actividad está vinculada a un clúster de amenaza denominado Arcanedoorque se identificó previamente como dirigidos a dispositivos de red perimetral de varios proveedores, incluido Cisco, para entregar familias de malware como Line Runner y Line Dancer. La actividad se atribuyó a un actor de amenaza con nombre en código UAT4356 (también conocido como Storm-1849).
«Este actor de amenaza ha demostrado una capacidad para modificar con éxito la ROM ASA al menos tan pronto como 2024», agregó CISA. «Estas vulnerabilidades de día cero en la plataforma Cisco ASA también están presentes en versiones específicas de la potencia de fuego de Cisco. El arranque seguro de los electrodomésticos de fuego detectaría la manipulación identificada de la ROM».
Fuente