Contáctenos
Plataforma Cloud
  • Comunicado de Emergencia, Cyber Threat Intelligence

Cisco confirma explotación activa de tres zero-days por actores de amenaza avanzados

Cisco confirmó el 26 de septiembre una campaña sofisticada de ataques contra dispositivos ASA serie 5500-X desde mayo de 2025. Tres vulnerabilidades zero-day están siendo explotadas: CVE-2025-20333 (CVSS 9.9) para ejecución remota de código en el servidor VPN web, CVE-2025-20362 (CVSS 6.5) para acceso no autorizado al servidor VPN web, y CVE-2025-20363 (CVSS 9.0) afectando IOS, IOS XE e IOS XR vía servidor HTTP. La CVE-2025-20352 (CVSS 7.7) en el subsistema SNMP también continúa siendo explotada. El caso demanda acción inmediata por parte de los involucrados.

El mismo actor de amenazas detrás de la operación ArcaneDoor de 2024 demuestra capacidades avanzadas, incluyendo modificación del ROMMON para persistencia a través de reinicios y actualizaciones de software. Los ataques tienen como objetivo dispositivos Cisco ASA serie 5500-X ejecutando versiones 9.12 o 9.14 con servicios VPN web habilitados. Solo modelos sin soporte a Secure Boot fueron comprometidos: 5512-X, 5515-X, 5525-X, 5545-X, 5555-X y 5585-X.

Recomendaciones:

  • Inventariar inmediatamente todas las plataformas Cisco ASA (hardware ASA, ASA-Service Module, ASA Virtual y firmware ASA en Firepower 2100/4100/9300) y todos los appliances Cisco Firepower Threat Defense conforme a la metodología de la directiva ED 25-03.
  • Para todos los appliances ASA hardware orientados a internet, ejecutar las instrucciones paso a paso Core Dump and Hunt Parts 1-3 de la CISA y enviar core dumps vía portal Malware Next Gen hasta el 26 de septiembre de 2025, 23:59 EDT (más información en el enlace: https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cis…).
  • Desconectar permanentemente dispositivos ASA hardware con fin de soporte en o antes del 30 de septiembre de 2025.
  • Aplicar actualizaciones más recientes de Cisco hasta el 26 de septiembre de 2025 y subsecuentes en hasta 48 horas.
  • Para dispositivos que no pueden ser inmediatamente actualizados, deshabilitar todos los servicios SSL/TLS VPN, incluyendo servicios IKEv2 client que facilitan actualizaciones de software y perfiles de cliente endpoint, y todos los servicios SSL VPN.
  • Reportar inventario completo hasta el 2 de octubre de 2025 utilizando el modelo de la CISA.
  • Para dispositivos sospechosos o confirmadamente comprometidos, realizar reset completo a configuraciones de fábrica después de actualización a versión corregida, reemplazando todas las configuraciones – especialmente contraseñas locales, certificados y llaves – por nuevas credenciales generadas.

SEK mantiene monitoreo activo de esta campaña y está preparada para proporcionar soporte especializado en respuesta a incidentes, análisis forense e implementación de controles de seguridad compensatorios. Nuestro equipo puede auxiliar en la identificación de dispositivos comprometidos, ejecución segura de procedimientos de recuperación e implementación de arquitecturas de seguridad resilientes contra amenazas avanzadas persistentes.

 

Más contenido como este:
  • Comunicado de Emergencia, Cyber Threat Intelligence

Red Hat confirma la exposición de datos de clientes tras un ciberataque a una instancia de GitLab

El 2 de octubre de este año, Red Hat confirmó una brecha de seguridad en una instancia de GitLab Community Edition utilizada por el equipo de Red Hat Consulting.

LEER MÁS
  • Boletín de Inteligencia, Cyber Threat Intelligence

Ataques coordinados a Salesforce afectan cientos de organizaciones globalmente​

El FBI advirtió sobre ataques que explotan Salesforce para robar datos y tokens OAuth en grandes empresas.

LEER MÁS
Accede a más contenido
Dónde estamos
Argentina

Esmeralda 1042, piso 10, CABA, Buenos Aires

Brasil

Av. Tamboré, nº 267, 13º andar, conjunto 131B, Salas 1 e 2, parte, Torre Norte, Bloco B, Alphaville, CEP 06460-000, Cidade de Barueri - São Paulo

Colombia

Autopista Norte # 114 - 44 oficina 404 Edificio Invention Center

Chile

Avenida Suecia 0155 Piso 14, Santiago

Peru

Av. Del Pinar 152 Of. 1101 Chacarilla del Estanque, Santiago de Surco, Lima

Sigue al SEK en las redes sociales
Linkedin Youtube
Canal de transparencia
La información enviada a través de este canal se mantendrá confidencial, al igual que su identidad.
Realizar el informe
Acceder al manual
Contáctenos
Plataforma Cloud
Linkedin Youtube
Whatsapp
Aviso de cookies
SEK

SEK respeta su privacidad y se compromete con el tratamiento de sus datos personales. Para ello, hemos elaborado este Aviso de Cookies para explicarle cómo utilizamos cookies en su navegación en nuestro sitio web e indicar cuáles son los cookies utilizados.

Cookies estrictamente necesarios

Necesitamos recolectar ciertos cookies para que nuestro sitio web funcione correctamente. No es posible rechazar estos cookies si desea acceder al sitio web.

Cookies de rendimiento/análisis

Nos permiten contar visitas y fuentes de tráfico para que podamos medir y mejorar el rendimiento de nuestro sitio web. Nos ayudan a analizar, por ejemplo, qué páginas son las más y menos populares y a ver cómo los visitantes se mueven en nuestro sitio web.

Cookies de preferencia

Nos permiten personalizar la experiencia del usuario sin que tenga que reconfigurar las preferencias en cada visita al sitio, registrando opciones individuales, como el idioma preferido, el diseño o las configuraciones de accesibilidad.