Cisco insta a los clientes a corregir dos fallas de seguridad que afectan al servidor web VPN del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Threat Defense (FTD), que, según afirma, han sido explotados en estado salvaje.
Las vulnerabilidades de día cero en cuestión se enumeran a continuación:
- CVE-2025-20333 (Puntuación CVSS: 9,9): una vulnerabilidad de validación incorrecta de las entradas proporcionadas por el usuario en las solicitudes HTTP (S) que podría permitir a un atacante remoto autenticado con credenciales de usuario de VPN válidas ejecutar código arbitrario como usuario root en un dispositivo afectado mediante el envío de solicitudes HTTP diseñadas
- CVE-2025-20362 (Puntuación CVSS: 6.5): una vulnerabilidad de validación incorrecta de las entradas proporcionadas por el usuario en las solicitudes HTTP (S) que podría permitir a un atacante remoto no autenticado acceder a puntos finales de URL restringidos sin autenticación mediante el envío de solicitudes HTTP diseñadas
Cisco dijo que está al tanto del «intento de explotación» de ambas vulnerabilidades, pero no reveló quién podría estar detrás de ello ni qué tan generalizados están los ataques. Se sospecha que las dos vulnerabilidades se están encadenando para eludir la autenticación y ejecutar código malintencionado en los dispositivos vulnerables.
También acreditó a la Dirección de Señales de Australia, el Centro Australiano de Ciberseguridad (ACSC), el Centro Canadiense de Ciberseguridad, el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido y la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) por apoyar la investigación.
CISA emite la directiva de emergencia ED 25-03
En otra alerta, CISA dijo está emitiendo una directiva de emergencia que insta a las agencias federales a identificar, analizar y mitigar los posibles compromisos con efecto inmediato. Además, ambas vulnerabilidades han sido adicional al catálogo de vulnerabilidades explotadas conocidas (KEV), lo que da a las agencias 24 horas para aplicar las mitigaciones necesarias.
«La CISA tiene conocimiento de una campaña de explotación en curso por parte de un actor de amenazas avanzado dirigida a Cisco Adaptive Security Appliances (ASA)», dijo la agencia apuntado .
«La campaña está muy extendida e implica aprovechar las vulnerabilidades de día cero para ejecutar código remoto sin autenticar en los ASA, así como manipular la memoria de solo lectura (ROM) para que persista durante el reinicio y la actualización del sistema. Esta actividad representa un riesgo importante para las redes de las víctimas».
La agencia también señaló que la actividad está vinculada a un grupo de amenazas denominado Puerta arcana , que anteriormente se había identificado como objetivo dispositivos de red perimetral de varios proveedores, incluido Cisco, para distribuir familias de malware como Line Runner y Line Dancer. La actividad se atribuyó a un actor de amenazas denominado UAT4356 (también conocido como Storm-1849).
«Este actor de amenazas ha demostrado su capacidad para modificar con éxito la ROM ASA al menos ya en 2024", agregó CISA. «Estas vulnerabilidades de día cero en la plataforma Cisco ASA también están presentes en versiones específicas de Cisco Firepower. El arranque seguro de los dispositivos Firepower detectaría la manipulación identificada de la ROM».