Cisco insta a sus clientes a corregir (otros) dos fallos de seguridad que afectan al servidor web VPN de los software Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD), que, según afirma, están siendo explotados de forma indiscriminada. Estos Zero-Day se agrega al anterior CVE-2025-20352.
La campaña es generalizada e implica la explotación de vulnerabilidades Zero-Day para obtener la ejecución remota de código no autenticado en ASAs, así como la manipulación de la memoria de solo lectura (ROM) para que persista tras el reinicio y la actualización del sistema. Esta actividad representa un riesgo significativo para las redes de las víctimas.
Cisco afirmó tener conocimiento del intento de explotación de ambas vulnerabilidades, pero no reveló quién podría estar detrás ni la extensión de los ataques. Se sospecha que ambas vulnerabilidades se están encadenando para eludir la autenticación y ejecutar código malicioso en dispositivos susceptibles.
Las vulnerabilidades Zero-Day en cuestión se enumeran a continuación:
- CVE-2025-20333 (CVSS: 9,9): Una vulnerabilidad de validación incorrecta de la entrada proporcionada por el usuario en solicitudes HTTP(S) podría permitir que un atacante remoto autenticado con credenciales de usuario VPN válidas ejecute código arbitrario como root en un dispositivo afectado mediante el envío de solicitudes HTTP manipuladas.
- CVE-2025-20362 (CVSS: 6,5): Una vulnerabilidad de validación incorrecta de la entrada proporcionada por el usuario en solicitudes HTTP(S) podría permitir que un atacante remoto no autenticado acceda a puntos finales de URL restringidos sin autenticación mediante el envío de solicitudes HTTP manipuladas.
En una alerta aparte, CISA anunció la emisión de una directiva de emergencia que insta a identificar, analizar y mitigar posibles vulnerabilidades con efecto inmediato. Además, ambas vulnerabilidades se han añadido al catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
"CISA tiene conocimiento de una campaña de explotación en curso por parte de un actor de amenazas avanzadas dirigida a los dispositivos de seguridad adaptativa de Cisco (ASA)", señaló la agencia.
La agencia también señaló que la actividad está vinculada a un clúster de amenazas denominado ArcaneDoor, previamente identificado como objetivo de dispositivos de red perimetral de varios proveedores, incluido Cisco, para distribuir familias de malware como Line Runner y Line Dancer. La actividad se atribuyó a un actor de amenazas denominado UAT4356 (también conocido como Storm-1849).
Este actor de amenazas ha demostrado su capacidad para modificar con éxito la ROM de ASA al menos desde 2024, añadió CISA. Estas vulnerabilidades de día cero en la plataforma Cisco ASA también están presentes en versiones específicas de Cisco Firepower. El arranque seguro de los dispositivos Firepower detectaría la manipulación identificada de la ROM.
Explotación activa
Los últimos 3 avisos de la empresa apuntan a explotación activa de las siguientes vulnerabilidades:
- CVE-2025-20333 - RCE (CVSS 9.9)
- CVE-2025-20362 - Unauthorized access (CVSS 6.5)
- CVE-2025-20363 - RCE (CVSS 9.0)
El propio informe de Cisco detalla la persistencia en ROMMON en dispositivos ASA 5500-X heredados sin arranque seguro. La actividad de los atacantes incluye la implantación de malware, la ejecución de comandos, la manipulación de registros e incluso el bloqueo de dispositivos para bloquear el análisis forense.
Actualización 26/09
CVE-2025-20333 es una vulnerabilidad de servicio web por desbordamiento de búfer (CWE-120) que afecta a Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD).
Cuando se explota CVE-2025-20333, se produce una ejecución remota de código (RCE) a nivel root en el sistema afectado. Cisco declaró que se han observado intentos de explotación in situ, y CVE-2025-20333 se añadió al catálogo KEV de CISA el mismo día de la publicación del aviso.
El aviso de Cisco para CVE-2025-20333 indica que la vulnerabilidad requiere credenciales de usuario de VPN válidas. Sin embargo, la entrada KEV de CISA para CVE-2025-20333 indica explícitamente que puede vincularse con la vulnerabilidad de autorización faltante CVE-2025-20362, que no requiere autenticación. Por lo tanto, sería razonable suponer que es posible explotar CVE-2025-20333 sin credenciales, encadenándola con CVE-2025-20362.
CVE-2025-20362 es una vulnerabilidad de servicio web de autorización faltante (CWE-862) que afecta a Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD).
Cuando se explota CVE-2025-20362, un atacante no autenticado puede acceder a endpoints de URL restringidas que, de otro modo, requerirían autenticación. Como se mencionó anteriormente, Cisco confirmó los intentos de explotación de CVE-2025-20362, y la vulnerabilidad se añadió a CISA KEV. La entrada de CISA KEV indica explícitamente que CVE-2025-20362 puede encadenarse con CVE-2025-20333.
CVE-2025-20363 es una vulnerabilidad de servicio web de desbordamiento de búfer basado en montón (CWE-122) que afecta a Cisco Secure Firewall Adaptive Security Appliance (ASA), Secure Firewall Threat Defense (FTD), IOS, IOS XE e IOS XR.
Cuando se explota Cisco ASA o FTD, no se requieren credenciales; cuando se explota Cisco IOS, IOS XE o IOS XR, se requieren credenciales con privilegios bajos. En todos los casos, el resultado es una RCE de nivel root en el sistema afectado.
En Cisco ASA/FP se deben monitorear estas URL:
- GET /+CSCOU+/MacTunnelStart.jar
- GET /+CSCOL+/csvrloader64.cab
- GET /+CSCOL+/csvrloader.jar
Los administradores deben considerar esto como una explotación activa, no como un riesgo teórico.
Actualización 29/09
CISA ha publicado una guía de trabajo y mitigación para CVE-2025-20333 y CVE-2025-20362.
En los últimos 90 días, GreyNoise ha observado tráfico que activa su etiqueta Cisco ASA Scanner, procedente y dirigido a los siguientes países:
Principales países de origen:
- Brasil (64%)
- Argentina (8%)
- Estados Unidos (8%)
Principales países de destino:
- Estados Unidos (97%)
- Reino Unido (5%)
- Alemania (3%)