A Cisco alertou esta semana que duas vulnerabilidades críticas, anteriormente usadas em ataques ‘zero-day’, estão agora a ser ativamente exploradas para forçar os seus firewalls ASA e FTD a entrar em ciclos de reinicialização.
A gigante tecnológica já tinha lançado atualizações de segurança a 25 de setembro para corrigir estas duas falhas. A primeira, CVE-2025-20362, permite a um atacante remoto aceder a pontos de URL restritos sem autenticação. A segunda, CVE-2025-20333, permite que um atacante autenticado execute código remotamente (RCE) nos dispositivos vulneráveis.
Quando usadas em conjunto, estas vulnerabilidades permitem que atacantes remotos e não autenticados obtenham controlo total sobre sistemas que não tenham sido atualizados.
O novo vetor de ataque
Embora o perigo inicial fosse a execução remota de código, a Cisco identificou uma nova variante de ataque a 5 de novembro de 2025. Esta nova campanha usa as mesmas vulnerabilidades, mas com um objetivo diferente: causar condições de negação de serviço (DoS).
“A 5 de novembro de 2025, a Cisco tomou conhecimento de uma nova variante de ataque que visa dispositivos que executam o software Cisco Secure ASA ou Cisco Secure FTD afetados pelas mesmas vulnerabilidades”, explicou um porta-voz da Cisco. “Este ataque pode fazer com que os dispositivos não corrigidos reiniciem inesperadamente, levando a condições de negação de serviço (DoS).”
A CISA (Agência de Cibersegurança e Infraestruturas dos EUA) e a Cisco associaram estes ataques à campanha “ArcaneDoor”, atribuída ao grupo de ameaça UAT4356 (também rastreado pela Microsoft como STORM-1849). Este grupo patrocinado pelo Estado esteve por trás de ataques que exploraram outras duas falhas ‘zero-day’ da Cisco (CVE-2024-20353 e CVE-2024-20359) para comprometer redes governamentais em todo o mundo, com início em novembro de 2023.
O historial das vulnerabilidades
Quando as falhas CVE-2025-20362 e CVE-2025-20333 foram corrigidas a 25 de setembro, a CISA emitiu uma diretiva de emergência, ordenando que as agências federais dos EUA protegessem os seus dispositivos Cisco em 24 horas. A CISA também exigiu a desconexão imediata de todos os dispositivos ASA que tivessem atingido o fim do suporte (EoS).
Na altura, o serviço de monitorização de ameaças Shadowserver detetou quase 50.000 firewalls por corrigir. Atualmente, esse número baixou para cerca de 34.000 instâncias ainda vulneráveis aos ataques.
Um histórico recente de problemas
Este incidente soma-se a um período complicado para a segurança dos equipamentos Cisco. A 25 de setembro, a empresa corrigiu uma terceira vulnerabilidade crítica (CVE-2025-20363) no seu software Cisco IOS e de firewall.
Mais recentemente, os atacantes começaram a explorar outra falha RCE (CVE-2025-20352) em dispositivos de rede Cisco para implementar malware do tipo rootkit em sistemas Linux desprotegidos.
Na passada quinta-feira, a Cisco lançou ainda atualizações para falhas críticas no seu software de Contact Center que permitiam o bypass de autenticação (CVE-2025-20358) e a execução de comandos com privilégios de root (CVE-2025-20354).
“Recomendamos vivamente que todos os clientes atualizem para as correções de software indicadas nos nossos avisos de segurança”, reforçou a Cisco na quinta-feira.
from TugaTech https://ift.tt/LHEDWOk
https://ift.tt/XO53Etn
Share your thoughts here.