Cisco alertó esta semana sobre dos vulnerabilidades que están siendo utilizadas en ataques de día cero, provocando reinicios continuos en los firewalls ASA y FTD.
La CVE-2025-20362 permite a atacantes remotos acceder a puntos de conexión con URL restringidas sin necesidad de autenticación, mientras que la CVE-2025-20333 da la posibilidad a atacantes autenticados de ejecutar código remotamente en dispositivos vulnerables.
La combinación de estas vulnerabilidades otorga a atacantes no autenticados el control total de sistemas que no han sido actualizados.
El servicio de monitoreo de amenazas Shadowserver está actualmente rastreando más de 34,000 instancias de ASA y FTD expuestas a Internet que son vulnerables a los ataques CVE-2025-20333 y CVE-2025-20362, una cifra que ha disminuido en comparación con los casi 50,000 cortafuegos no actualizados reportados en septiembre.
Ahora explotadas en ataques DoS
Cisco había mencionado anteriormente nuevas vulnerabilidades en ciertos dispositivos Cisco ASA 5500-X que utilizan el software Cisco Secure Firewall ASA con servicios web VPN habilitados, descubiertas gracias a la colaboración con varias agencias gubernamentales. «Atribuimos estos ataques al mismo grupo respaldado por un estado que ha liderado la campaña ArcaneDoor de 2024 e instamos a nuestros clientes a aplicar las correcciones disponibles«, afirmó un portavoz de Cisco esta semana.
«El 5 de noviembre de 2025, Cisco se enteró de una nueva variante de ataque enfocada en dispositivos que ejecutan versiones del software Cisco Secure ASA o Cisco Secure FTD víctimas de estas vulnerabilidades. Este ataque puede ocasionar reinicios inesperados en dispositivos sin parches, resultando en una denegación de servicio (DoS)».
CISA y Cisco han relacionado estos ataques a la campaña ArcaneDoor, que explotó dos vulnerabilidades de día cero en los cortafuegos Cisco (CVE-2024-20353 y CVE-2024-20359) para infiltrarse en redes gubernamentales a nivel global desde noviembre de 2023. El grupo de amenazas UAT4356 (identificado por Microsoft como STORM-1849), responsables de los ataques ArcaneDoor, implementó el novedoso cargador de shellcode en memoria Line Dancer y un malware de puerta trasera Line Runner para mantener la persistencia en los sistemas comprometidos.
El 25 de septiembre, Cisco solucionó una tercera vulnerabilidad crítica (CVE-2025-20363) en su software Cisco IOS y firewall, que permitía a atacantes no autenticados ejecutar código arbitrario de forma remota. No obstante, no se vinculó directamente con los ataques que explotan las vulnerabilidades CVE-2025-20362 y CVE-2025-20333, mencionando que su equipo «no tenía conocimiento de ningún anuncio público ni abuso malicioso de la vulnerabilidad».
Desde entonces, los atacantes han comenzado a explotar otra vulnerabilidad de ejecución remota de código (RCE) recientemente corregida (CVE-2025-20352) en dispositivos de red de Cisco para desplegar malware rootkit en sistemas Linux desprotegidos.
Más recientemente, el jueves, Cisco lanzó actualizaciones de seguridad para subsanar fallos críticos en su software Contact Center, que podrían permitir a atacantes eludir la autenticación (CVE-2025-20358) y ejecutar comandos con privilegios de administrador (CVE-2025-20354).
Fuente:
BC
Con Información de blog.segu-info.com.ar
