Casi 50.000 firewalls de Cisco son vulnerables a fallas explotadas activamente

Iniciado por AXCESS, Septiembre 30, 2025, 04:13:51 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 30, 2025, 04:13:51 PM


Aproximadamente 50.000 dispositivos Cisco Adaptive Security Appliance (ASA) y Firewall Threat Defense (FTD) expuestos en la web pública son vulnerables a dos vulnerabilidades que los hackers aprovechan activamente.

Las fallas, identificadas como CVE-2025-20333 y CVE-2025-20362, permiten la ejecución de código arbitrario y el acceso a endpoints URL restringidos asociados con el acceso VPN. Ambos problemas de seguridad pueden explotarse de forma remota sin autenticación.

El 25 de septiembre, Cisco advirtió que los problemas se estaban explotando activamente en ataques que comenzaron antes de que los parches estuvieran disponibles para los clientes.

No existen soluciones alternativas para ninguna de las fallas, pero las medidas de refuerzo temporales podrían incluir restringir la exposición de la interfaz web VPN y aumentar el registro y la monitorización de inicios de sesión sospechosos en VPN y solicitudes HTTP manipuladas.

Hoy, el servicio de monitoreo de amenazas The Shadowserver Foundation informa que sus análisis descubrieron más de 48 800 instancias de ASA y FTD expuestas a internet que aún son vulnerables a CVE-2025-20333 y CVE-2025-20362.

La mayoría de las direcciones IP se encuentran en Estados Unidos (más de 19 200 endpoints), seguido del Reino Unido (2800), Japón (2300), Alemania (2200), Rusia (2100), Canadá (1500) y Dinamarca (1200).

Exposición global de dispositivos Cisco ASA/FTD sin parches


Estas cifras corresponden a ayer, 29 de septiembre, lo que indica una falta de respuesta adecuada a la actividad de explotación en curso, así como a las advertencias previas.

Cabe destacar que Greynoise advirtió el 4 de septiembre sobre escaneos sospechosos que se produjeron a finales de agosto, dirigidos a dispositivos Cisco ASA. En el 80 % de los casos, estos escaneos indican la inminente aparición de fallas no documentadas en los productos afectados.

Los riesgos asociados a las dos vulnerabilidades son tan graves que la Agencia de Ciberseguridad y Seguridad de la Infraestructura de EE. UU. (CISA) emitió una directiva de emergencia que otorgaba 24 horas a todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) para identificar cualquier instancia de Cisco ASA y FTD comprometida en la red y actualizar las que permanecieran en servicio.

La CISA también recomendó que los dispositivos ASA que alcancen el fin de soporte (EoS) se desconecten de las redes de las organizaciones federales antes de hoy (finales de mes).

Un informe del Centro Nacional de Ciberseguridad (NCSC) del Reino Unido arrojó más luz sobre los ataques, señalando que los hackers implementaron un malware de carga de shellcode llamado "Line Viper", seguido de un bootkit de GRUB llamado "RayInitiator".

Dado que la explotación activa lleva más de una semana en curso, se insta a los administradores de los sistemas potencialmente afectados a aplicar las recomendaciones de Cisco para CVE-2025-20333 y CVE-2025-20362 lo antes posible.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario