CISA ha emitido una nueva directiva de emergencia que ordenó a las agencias federales estadounidenses que asegure sus dispositivos de firewall de Cisco contra dos defectos que han sido explotados en ataques de día cero.
La Directiva de emergencia 25-03 se emitió a las agencias de la rama ejecutiva civil federal (FCEB) el 25 de septiembre y requiere que parcen CVE-2025-20333 y CVE-2025-20362 Vulnerabilidades en el software Adaptive Security Appliance (ASA) y Firewall Feating Defense (FTD).
«La campaña está muy extendida e implica explotar las vulnerabilidades de día cero para obtener la ejecución de código remoto no autenticado en ASA, así como manipular la memoria de solo lectura (ROM) para persistir a través de reiniciar y actualizar el sistema. Esta actividad presenta un riesgo significativo para las redes de víctimas». CISA advirtió hoy.
«CISA está dirigiendo a las agencias que tengan en cuenta todos los dispositivos de Cisco ASA y FirePower, recopilen forenses y evalúen el compromiso a través de procedimientos y herramientas proporcionados por CISA, desconectar los dispositivos finales de apoyo y los dispositivos de actualización que permanecerán en servicio».
La Agencia de Ciberseguridad de EE. UU. Ahora requiere que todas las agencias de FCEB identifiquen todos los electrodomésticos de Cisco ASA y FirePower en sus redes, desconectar todo dispositivos comprometidos de la red, y parche los que no muestran signos de actividad maliciosa a las 12 pm EDT el 26 de septiembre.
Además, CISA ordenó que las agencias deben desconectar permanentemente los dispositivos ASA que lleguen al final del apoyo antes del 30 de septiembre desde sus redes.
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) dice Los atacantes se dirigen a dispositivos de la serie 5500-X sin Boot Secure habilitado para implementar VIPER LINE VIPER MODE SHELLCODE Malware y GRUB Bootkit denominado 'Rayinitiator' (que puede sobrevivir a los reiniciados y las actualizaciones de firmware) «para implantar malware, ejecutar comandos y potencialmente exfiltrado datos de dispositivos comprometidos».
Explotación vinculada a la campaña de Arcanedoor
Cisco ha lanzado actualizaciones de seguridad Para abordar los dos defectos de seguridad hoy, diciendo que CVE-2025-20333 puede permitir a los atacantes autenticados obtener de forma remota la ejecución de código en dispositivos vulnerables, mientras que CVE-2025-20362 permite a los actores de amenaza remota acceder a los puntos finales de URL restringidos sin autenticación.
Cuando está encadenado, las dos vulnerabilidades pueden permitir que los atacantes no autenticados obtengan el control total de los dispositivos no parpados de forma remota.
«Se observó que los atacantes habían explotado múltiples vulnerabilidades de día cero y emplearon técnicas de evasión avanzada, como deshabilitar el registro, interceptar comandos de CLI y bloquear intencionalmente dispositivos para evitar el análisis de diagnóstico», Cisco dijo hoyagregando que los ataques se dirigieron a dispositivos de la serie 5500-X con servicios web VPN habilitados.
«Durante nuestro análisis forense de dispositivos comprometidos confirmados, en algunos casos, Cisco ha observado que el actor de amenaza modifica a Rommon para permitir la persistencia entre reinicios y actualizaciones de software».
CISA y Cisco vincularon estos ataques en curso con el Campaña de Arcanedoorque explotó otros dos días cero ASA y FTD (CVE-2024-20353 y CVE-2024-20359) para violar las redes gubernamentales en todo el mundo desde noviembre de 2023.
Cisco se dio cuenta de los ataques de Arcanedoor a principios de enero de 2024 y descubrió evidencia de que el grupo de amenazas UAT4356 detrás de la campaña (rastreado como Storm-1849 por Microsoft) había probado y desarrollado hazañas para los dos días cero desde al menos julio de 2023.
En los ataques, los piratas informáticos se desplegaron previamente desconocidos Bailarín cargador de shellcode en memoria y Corredor de línea Malware de puerta trasera para mantener la persistencia en dispositivos Cisco comprometidos.
El viernes, Cisco reparó una tercera vulnerabilidad crítica (CVE-2025-20363) En su software Firewall y Cisco IOS, que puede permitir a los actores de amenaza no autenticados para ejecutar código arbitrario de forma remota en dispositivos sin parpadear.
Sin embargo, la compañía no lo vinculó directamente a estos ataques en el aviso de hoy, diciendo que su equipo de respuesta a incidentes de seguridad de productos «no tiene conocimiento de ningún anuncio público o uso malicioso de la vulnerabilidad».
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
