Uma campanha de ciberespionagem de alta sofisticação, rastreada sob o codinome Storm-1849 e ligada a atores chineses, tem emergido com destaque nas últimas semanas. A ação central deste grupo concentra-se na exploração ativa de firewalls Cisco Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD) sem correções de segurança.
Leia também
CISA exige correção urgente em firewalls Cisco
Cisco alerta para atualização de software após exploração
Analistas de resposta a incidentes da Unidade 42 da Palo Alto Networks confirmaram que varreduras e experimentos de exploração foram observados durante todo o mês de outubro na América do Norte, Europa e Ásia. Os alvos primários são instituições governamentais, militares e grandes corporações, pois esses dispositivos operam nas redes de “borda” (edge) e centralizam serviços críticos como VPNs, prevenção de intrusão e filtragem, tornando-os de altíssimo valor. O alcance global foi extenso, com varreduras confirmadas contra 12 endereços IP direcionados a agências federais dos EUA e outros 11 vinculados a entidades governamentais estaduais ou locais. Fora dos Estados Unidos, IPs públicos na Índia, Nigéria, Japão, Noruega, França, Reino Unido, Holanda, Espanha, Austrália, Polônia, Áustria, Emirados Árabes Unidos, Azerbaijão e Butão também foram vistos.
O sucesso da campanha reside na exploração de duas vulnerabilidades críticas de dia zero que afetam o componente Servidor Web VPN. Em primeiro lugar, CVE‑2025‑20333, comumente com CVSS 9.9, é um excesso de buffer que permite que um invasor remoto execute código arbitrário como usuário root, resultando no comprometimento completo do dispositivo. Essa falha é explorada por meio do envio de requisições HTTP(S) maliciosas para um invasor com credenciais de VPN válidas. Essa vulnerabilidade de execução de código é codificada com CVE‑2025‑20362, uma falha de autorização (CVSS 6.5) que permite acesso não autenticado a endpoints URL restritos, facilitando uma cadeia de ataque.
A Cisco confirmou que os atores de ameaças utilizaram mecanismos avançados de persistência que sobreviveram a reinicializações e atualizações, incluindo boot-kits que modificam o ROMMON dos dispositivos afetados. Em resposta imediata à gravidade da situação e à utilização ativa das vulnerabilidades, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA emitiu a Diretriz de Emergência (ED 25-03), ordenando que todas as agências civis federais identifiquem e mitigem imediatamente qualquer possível comprometimento dos dispositivos Cisco.
