A agência de cibersegurança dos EUA (CISA) emitiu novo alerta sobre duas vulnerabilidades críticas nos dispositivos Cisco Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), exploradas na campanha de espionagem ArcaneDoor, atribuídas a atores ligados à China.
As falhas, CVE-2025-20333 e CVE-2025-20362, identificadas em maio após uso como zero-day em ataques contra órgãos governamentais, permitem execução remota de código com privilégios de root ou acesso não autenticado a URLs restritas em servidores VPN dos dispositivos.
Detalhes técnicos e vetores de ataque
Os atacantes exploraram as vulnerabilidades para instalar malware, executar comandos e possivelmente exfiltrar dados.
A Cisco lançou correções em 25 de setembro, mas alertou em 6 de novembro que variantes recentes do ataque podem causar reinicialização forçada de dispositivos, causando negação de serviço (DoS).
Diretriz emergencial e erros de remediação
A Diretriz Emergencial ED 25-03 da CISA determinou às agências federais que identificassem dispositivos ASA e FTD vulneráveis, aplicassem imediatamente as correções e reportassem inventários e medidas impostas até 2 de outubro.
No entanto, a análise da CISA revela que algumas agências classificaram dispositivos como “corrigidos” mesmo utilizando versões de software ainda vulneráveis.
Nova e orientação versões mínimas de correção
Como dificuldade para localizar as versões corretas persistiu em algumas agências, a CISA publicado uma lista de versões mínimas seguras para corrigir ambas as falhas, além de nova orientação temporária para mitigação de riscos.
Para dispositivos ainda não atualizados ou corrigidos após 26 de setembro de 2025, a CISA recomenda ações adicionais para mitigar ameaças ativas e potenciais.
Recomendações
- As agências devem confirmar a atualização de todos os dispositivos ASA e Firepower para versões seguras.
- Recomenda-se a coleta forense, verificar sinais de comprometimento e desconectar dispositivos em end-of-support.
- Aplicar as recomendações e a lista de versões mínimas disponíveis na orientação mais recente da CISA.
Ó alerta reforçar a importância de validar as versões aplicadas, garantir o inventário atualizado dos ativos críticos e seguir as diretrizes oficiais em caso de campanhas em andamento.
