Cisco insta a sus clientes a corregir (otros) dos fallos de seguridad que afectan al servidor web VPN de los software Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD), que, según afirma, están siendo explotados de forma indiscriminada.
La campaña es generalizada e implica la explotación de vulnerabilidades Zero-Day para obtener la ejecución remota de código no autenticado en ASAs, así como la manipulación de la memoria de solo lectura (ROM) para que persista tras el reinicio y la actualización del sistema. Esta actividad representa un riesgo significativo para las redes de las víctimas.
Las vulnerabilidades Zero-Day en cuestión se enumeran a continuación:
- CVE-2025-20333 (CVSS: 9,9): Una vulnerabilidad de validación incorrecta de la entrada proporcionada por el usuario en solicitudes HTTP(S) podría permitir que un atacante remoto autenticado con credenciales de usuario VPN válidas ejecute código arbitrario como root en un dispositivo afectado mediante el envío de solicitudes HTTP manipuladas.
- CVE-2025-20362 (CVSS: 6,5): Una vulnerabilidad de validación incorrecta de la entrada proporcionada por el usuario en solicitudes HTTP(S) podría permitir que un atacante remoto no autenticado acceda a puntos finales de URL restringidos sin autenticación mediante el envío de solicitudes HTTP manipuladas.
Cisco reconoció el apoyo de la Dirección Australiana de Señales, el Centro Australiano de Ciberseguridad (ACSC), el Centro Canadiense de Ciberseguridad, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) y la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) en la investigación.
En una alerta aparte, CISA anunció la emisión de una directiva de emergencia que insta a identificar, analizar y mitigar posibles vulnerabilidades con efecto inmediato. Además, ambas vulnerabilidades se han añadido al catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
«CISA tiene conocimiento de una campaña de explotación en curso por parte de un actor de amenazas avanzadas dirigida a los dispositivos de seguridad adaptativa de Cisco (ASA)», señaló la agencia.
La agencia también señaló que la actividad está vinculada a un clúster de amenazas denominado ArcaneDoor, previamente identificado como objetivo de dispositivos de red perimetral de varios proveedores, incluido Cisco, para distribuir familias de malware como Line Runner y Line Dancer. La actividad se atribuyó a un actor de amenazas denominado UAT4356 (también conocido como Storm-1849).
Este actor de amenazas ha demostrado su capacidad para modificar con éxito la ROM de ASA al menos desde 2024, añadió CISA. Estas vulnerabilidades de día cero en la plataforma Cisco ASA también están presentes en versiones específicas de Cisco Firepower. El arranque seguro de los dispositivos Firepower detectaría la manipulación identificada de la ROM.
Fuente: THN