Cisco insta a los clientes a parchear dos fallas de seguridad que afectan a los servidores web VPN del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Feating Defense (FTD).
Las vulnerabilidades de día cero en cuestión se enumeran a continuación –
CVE-2025-20333 (Puntuación CVSS: 9.9)-La validación inapropiada de la entrada respaldada por el usuario en HTTP requiere una vulnerabilidad que permite un atacante remoto autenticado con credenciales de usuario VPN válidas para ejecutar el código arbitrario como root al solicitar CVE-2025-20362 para CVE-2025-20362. La validación inapropiada de la entrada respaldada por el usuario sobre HTTP solicita una vulnerabilidad que permite que un atacante remoto no creado envíe solicitudes HTTP creadas para acceder a los puntos finales de URL restringidos sin autenticación.
Cisco dijo que reconoce «los intentos de explotar ambas vulnerabilidades, pero no reveló quién está detrás de él o qué tan extendidos son los ataques. Se sospecha que dos vulnerabilidades están encadenadas para evitar la autenticación y ejecutar código malicioso en electrodomésticos sensibles.
También evaluaron la Oficina de Señales de Australia, el Centro de Seguridad Cibernética Australiana (ACSC), el Centro de Seguridad Cibernética de Canadá, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) y la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) como para apoyar la investigación.
CISA emite la Directiva de emergencia Ed 25-03
En otra alerta, CISA dijo que está emitiendo directivas de emergencia que instan a las agencias federales a identificar, analizar y mitigar los compromisos potenciales de inmediato. Además, ambas vulnerabilidades se han agregado al catálogo de vulnerabilidades explotadas (KEV) conocidas y se dan a los agentes las 24 horas del día para aplicar las mitigaciones necesarias.
«CISA reconoce las campañas de explotación en curso de los actores avanzados de amenazas dirigidas a los dispositivos de seguridad adaptativos de Cisco (ASA)», dijo la agencia.
«Esta campaña es ampliamente popular y aprovecha vulnerabilidades de día cero para adquirir la ejecución de código remoto que no está certificada en el ASA, y manipula la memoria de solo lectura (ROM) para mantener reinicios y actualizaciones del sistema. Esta actividad plantea un riesgo significativo para la red de víctimas».
Los agentes también se han identificado previamente como proporcionar familias de malware como Line Runner y Line Dancer, ya que las actividades están vinculadas a grupos de amenazas llamados Arcanedoors y se han identificado previamente como dispositivos de red periférica objetivo de varios proveedores, incluido Cisco. Esta actividad se atribuyó a un actor de amenaza llamado UAT4356 (también conocido como Storm-1849).
«Este actor de amenaza demuestra su capacidad para cambiar con éxito las ROM ASA, al menos tan pronto como 2024», agregó CISA. «Estas vulnerabilidades de día cero en la plataforma Cisco ASA también existen en ciertas versiones de potencia de fuego de Cisco. Las botas seguras de la potencia de fuego detectan las operaciones identificadas de la ROM».
Source link
