Cisco advirtió esta semana que dos vulnerabilidades, utilizadas en ataques de día cero, están siendo explotadas para forzar reinicios constantes en firewalls ASA y FTD. La CVE-2025-20362 permite a atacantes remotos acceder a puntos de conexión con URL restringidas sin autenticación, mientras que la CVE-2025-20333 permite a atacantes autenticados ejecutar código de forma remota en dispositivos vulnerables.
Cuando se combinan, estas vulnerabilidades permiten a atacantes remotos no autenticados obtener el control total de sistemas sin parches.
El servicio de monitoreo de amenazas Shadowserver actualmente rastrea más de 34.000 instancias de ASA y FTD expuestas a Internet vulnerables a los ataques CVE-2025-20333 y CVE-2025-20362, una cifra inferior a los casi 50.000 cortafuegos sin parchear que detectó en septiembre.
Ahora explotada en ataques DoS
Cisco reveló previamente nuevas vulnerabilidades en ciertos dispositivos Cisco ASA 5500-X que ejecutan el software Cisco Secure Firewall ASA con servicios web VPN habilitados, descubiertas en colaboración con varias agencias gubernamentales. "Atribuimos estos ataques al mismo grupo patrocinado por un estado responsable de la campaña ArcaneDoor de 2024 e instamos a los clientes a aplicar las correcciones de software disponibles", declaró un portavoz de Cisco esta semana.
"El 5 de noviembre de 2025, Cisco tuvo conocimiento de una nueva variante de ataque dirigida a dispositivos que ejecutan versiones del software Cisco Secure ASA o Cisco Secure FTD afectadas por las mismas vulnerabilidades. Este ataque puede provocar que los dispositivos sin parchear se reinicien inesperadamente, lo que genera una denegación de servicio (DoS)".
CISA y Cisco vincularon los ataques a la campaña ArcaneDoor, que explotó dos vulnerabilidades de día cero en firewalls de Cisco (CVE-2024-20353 y CVE-2024-20359) para infiltrarse en redes gubernamentales de todo el mundo a partir de noviembre de 2023. El grupo de amenazas UAT4356 (identificado por Microsoft como STORM-1849), responsable de los ataques ArcaneDoor, implementó el cargador de shellcode en memoria Line Dancer, hasta entonces desconocido, y el malware de puerta trasera Line Runner para mantener la persistencia en los sistemas comprometidos.
El 25 de septiembre, Cisco solucionó una tercera vulnerabilidad crítica (CVE-2025-20363) en su software Cisco IOS y firewall, que permitía a atacantes no autenticados ejecutar código arbitrario de forma remota. Sin embargo, no lo vinculó directamente con los ataques que explotan las vulnerabilidades CVE-2025-20362 y CVE-2025-20333, afirmando que su equipo "no tenía conocimiento de ningún anuncio público ni uso malicioso de la vulnerabilidad".
Desde entonces, los atacantes han comenzado a explotar otra vulnerabilidad de ejecución remota de código (RCE) recientemente corregida (CVE-2025-20352) en dispositivos de red de Cisco para desplegar malware rootkit en sistemas Linux desprotegidos.
Más recientemente, el jueves, Cisco publicó actualizaciones de seguridad para corregir fallos críticos en su software Contact Center, que podrían permitir a los atacantes eludir la autenticación (CVE-2025-20358) y ejecutar comandos con privilegios de administrador (CVE-2025-20354).
Fuente: BC