A Cisco confirmou em 26 de setembro uma campanha sofisticada de ataques contra dispositivos ASA série 5500-X desde maio de 2025. Três vulnerabilidades zero-day estão sendo exploradas: CVE-2025-20333 (CVSS 9.9) para execução remota de código no servidor VPN web, CVE-2025-20362 (CVSS 6.5) para acesso não autorizado ao servidor VPN web, e CVE-2025-20363 (CVSS 9.0) afetando IOS, IOS XE e IOS XR via servidor HTTP. A CVE-2025-20352 (CVSS 7.7) no subsistema SNMP também continua sendo explorada. O caso demanda ação imediata por parte dos envolvidos.
O mesmo ator de ameaças por trás da operação ArcaneDoor (2024) demonstra capacidades avançadas, incluindo modificação do ROMMON para persistência através de reinicializações e atualizações de software. Os ataques têm como alvo dispositivos Cisco ASA série 5500-X executando versões 9.12 ou 9.14 com serviços VPN web habilitados. Apenas modelos sem suporte a Secure Boot foram comprometidos: 5512-X, 5515-X, 5525-X, 5545-X, 5555-X e 5585-X.
Recomendações:
- Inventariar imediatamente todas as plataformas Cisco ASA (hardware ASA, ASA-Service Module, ASA Virtual e firmware ASA em Firepower 2100/4100/9300) e todos os appliances Cisco Firepower Threat Defense conforme metodologia da diretiva ED 25-03.
- Para todos os appliances ASA hardware voltados para internet, executar as instruções passo a passo Core Dump and Hunt Parts 1-3 da CISA e submeter core dumps via portal Malware Next Gen até 26 de setembro de 2025, 23h59 EDT (mais informações no link: https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cis).
- Desconectar permanentemente dispositivos ASA hardware com fim de suporte em ou antes de 30 de setembro de 2025.
- Aplicar atualizações mais recentes da Cisco até 26 de setembro de 2025 e subsequentes em até 48 horas.
- Para dispositivos que não podem ser imediatamente atualizados, desabilitar todos os serviços SSL/TLS VPN, incluindo serviços IKEv2 client que facilitam atualizações de software e perfis de cliente endpoint, e todos os serviços SSL VPN.
- Reportar inventário completo até 2 de outubro de 2025 utilizando modelo da CISA.
- Para dispositivos suspeitos ou confirmadamente comprometidos, realizar reset completo para configurações de fábrica após atualização para versão corrigida, substituindo todas as configurações — especialmente senhas locais, certificados e chaves — por novas credenciais geradas.
SEK mantém monitoramento ativo desta campanha e está preparada para fornecer suporte especializado em resposta a incidentes, análise forense e implementação de controles de segurança compensatórios. Nossa equipe pode auxiliar na identificação de dispositivos comprometidos, execução segura de procedimentos de recuperação e implementação de arquiteturas de segurança resilientes contra ameaças avançadas persistentes.
