A CISA (Agência de Cibersegurança e Segurança de Infraestruturas dos EUA) está a soar o alarme, novamente. A agência emitiu um aviso urgente às agências federais americanas para que apliquem corretamente as atualizações de segurança para duas vulnerabilidades críticas em dispositivos Cisco ASA (Adaptive Security Appliances) e Firepower.
O motivo da urgência? Embora muitos acreditassem estar protegidos, a CISA descobriu que as correções foram mal aplicadas, deixando os sistemas expostos a ataques que já estão a acontecer.
O risco da exploração em cadeia
As duas falhas em questão, identificadas como CVE-2025-20362 e CVE-2025-20333, são perigosas por si sós. A primeira permite a um atacante remoto aceder a endpoints de URL restritos sem autenticação, enquanto a segunda permite a execução remota de código.
O verdadeiro pesadelo acontece quando são exploradas em conjunto. Ao encadear as duas falhas, um atacante pode obter controlo total e remoto de um dispositivo vulnerável sem precisar de se autenticar.
O erro que está a custar caro
A Cisco lançou as correções para estas vulnerabilidades em setembro, alertando na altura que já estavam a ser exploradas como zero-days. Os alvos principais eram dispositivos da Série 5500-X com serviços VPN web ativados. Em resposta, a CISA emitiu a Diretiva de Emergência 25-03, ordenando que as agências federais aplicassem os patches em 24 horas.
Contudo, o novo aviso revela que algo correu mal. A CISA está ciente de "várias organizações que acreditavam ter aplicado as atualizações necessárias, mas que, na verdade, não atualizaram para a versão de software mínima".
A agência é clara: "A CISA está a monitorizar a exploração ativa destas versões vulneráveis" em agências federais (FCEB), confirmando que os atacantes estão a aproveitar-se deste erro de aplicação dos patches.
Campanha "ArcaneDoor" e a escala do problema
Estes ataques estão ligados à campanha de ciberespionagem "ArcaneDoor", que tem visado redes governamentais desde, pelo menos, novembro de 2023, utilizando também outras duas falhas zero-day (CVE-2024-20353 e CVE-2024-20359).
Embora o número de dispositivos vulneráveis tenha vindo a diminuir desde o alerta inicial em outubro (de 45.000 para cerca de 30.000), a plataforma de monitorização Shadowserver ainda identifica milhares de sistemas globalmente expostos.
Novas ordens para mitigar o risco
Para resolver esta falha crítica, a CISA publicou novas orientações. A agência relembrou que a diretiva de emergência exige que todos os dispositivos ASA e Firepower nas redes federais sejam atualizados imediatamente, e não apenas aqueles diretamente expostos à internet, de forma a bloquear ataques laterais e mitigar o risco de uma invasão total.
Nenhum comentário
Seja o primeiro!