CISA alerta: fallas de Cisco explotadas en ataques de día cero

Iniciado por AXCESS, Septiembre 26, 2025, 04:16:19 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 26, 2025, 04:16:19 PM


CISA ha emitido una nueva directiva de emergencia que ordena a las agencias federales estadounidenses proteger sus dispositivos firewall de Cisco contra dos vulnerabilidades explotadas en ataques de día cero.

La Directiva de Emergencia 25-03 se emitió el 25 de septiembre para las agencias de la Rama Ejecutiva Civil Federal (FCEB) y les exige que parcheen las vulnerabilidades CVE-2025-20333 y CVE-2025-20362 en el software Adaptive Security Appliance (ASA) y Firewall Threat Defense (FTD).

"La campaña es generalizada e implica la explotación de vulnerabilidades de día cero para obtener la ejecución remota de código no autenticado en ASA, así como la manipulación de la memoria de solo lectura (ROM) para que persista tras el reinicio y la actualización del sistema. Esta actividad representa un riesgo significativo para las redes de las víctimas", advirtió hoy la CISA.

CISA ordena a las agencias que contabilicen todos los dispositivos Cisco ASA y Firepower, recopilen análisis forenses y evalúen la vulnerabilidad mediante los procedimientos y herramientas proporcionados por CISA, desconecten los dispositivos que hayan finalizado su soporte y actualicen los dispositivos que permanecerán en servicio.

La agencia estadounidense de ciberseguridad exige ahora a todas las agencias de FCEB que identifiquen todos los dispositivos Cisco ASA y Firepower en sus redes, desconecten todos los dispositivos comprometidos y apliquen parches a aquellos que no presenten indicios de actividad maliciosa antes de las 12 p. m. EDT del 26 de septiembre.

Además, CISA ordenó que las agencias desconecten permanentemente de sus redes los dispositivos ASA que estén llegando al final de su soporte antes del 30 de septiembre.

El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido afirma que los atacantes atacan dispositivos de la serie 5500-X sin arranque seguro habilitado para implementar el malware LINE VIPER, el cargador de shellcode en modo usuario, y el bootkit GRUB denominado "RayInitiator" (que puede sobrevivir a reinicios y actualizaciones de firmware) "para implantar malware, ejecutar comandos y, potencialmente, extraer datos de los dispositivos comprometidos".

Explotación vinculada a la campaña ArcaneDoor

Cisco publicó hoy actualizaciones de seguridad para abordar las dos vulnerabilidades. La CVE-2025-20333 permite a atacantes autenticados ejecutar código de forma remota en dispositivos vulnerables, mientras que la CVE-2025-20362 permite a actores de amenazas remotos acceder a endpoints con URL restringidas sin autenticación.

Al combinarse, estas dos vulnerabilidades pueden permitir a atacantes no autenticados obtener el control total de dispositivos sin parches de forma remota.

Se observó que los atacantes explotaron múltiples vulnerabilidades de día cero y emplearon técnicas avanzadas de evasión, como deshabilitar el registro, interceptar comandos CLI y bloquear intencionalmente los dispositivos para evitar el análisis de diagnóstico, declaró hoy Cisco, añadiendo que los ataques se dirigieron a dispositivos de la serie 5500-X con servicios web VPN habilitados.

Durante nuestro análisis forense de dispositivos comprometidos confirmados, en algunos casos, Cisco observó que el atacante modificaba ROMMON para permitir la persistencia tras reinicios y actualizaciones de software.

CISA y Cisco vincularon estos ataques en curso con la campaña ArcaneDoor, que explotó otros dos ataques de día cero ASA y FTD ( CVE-2024-20353 y CVE-2024-20359 ) para vulnerar redes gubernamentales en todo el mundo desde noviembre de 2023.

Cisco tuvo conocimiento de los ataques ArcaneDoor a principios de enero de 2024 y descubrió evidencia de que el grupo de amenazas UAT4356 responsable de la campaña (identificado como STORM-1849 por Microsoft) había probado y desarrollado exploits para los dos ataques de día cero desde al menos julio de 2023.

En los ataques, los hackers implementaron el cargador de shellcode en memoria Line Dancer, previamente desconocido, y el malware de puerta trasera Line Runner para mantener la persistencia en los dispositivos Cisco comprometidos.

El viernes, Cisco parcheó una tercera vulnerabilidad crítica ( CVE-2025-20363 ) en su firewall y el software Cisco IOS, que puede permitir que actores de amenazas no autenticados ejecuten código arbitrario de forma remota en dispositivos sin parches.

Sin embargo, la compañía no la relacionó directamente con estos ataques en el aviso de hoy, afirmando que su Equipo de Respuesta a Incidentes de Seguridad de Productos "no tiene conocimiento de ningún anuncio público ni uso malicioso de la vulnerabilidad".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario