Cisco corrige vulnerabilidades usadas por espiões chineses

A agência de cibersegurança dos EUA (CISA) emitiu novo alerta sobre duas vulnerabilidades críticas nos dispositivos Cisco Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), exploradas na campanha de espionagem ArcaneDoor, atribuída a atores ligados à China.
As falhas, CVE-2025-20333 e CVE-2025-20362, identificadas em maio após uso como zero-day em ataques contra órgãos governamentais, permitem execução remota de código com privilégios de root ou acesso não autenticado a URLs restritas nos servidores VPN dos appliances.

Detalhes técnicos e vetor de ataque

Os atacantes exploraram as vulnerabilidades para instalar malware, executar comandos e possivelmente exfiltrar dados.
Cisco lançou correções em 25 de setembro, mas alertou em 6 de novembro que variantes recentes do ataque podem causar reinicialização forçada dos dispositivos, levando a negação de serviço (DoS).

Diretriz emergencial e erros de remediação

A Diretriz Emergencial ED 25-03 da CISA determinou às agências federais que identificassem dispositivos ASA e FTD vulneráveis, aplicassem imediatamente as correções e reportassem inventário e medidas adotadas até 2 de outubro.
No entanto, análise da CISA revela que algumas agências classificaram dispositivos como “corrigidos” mesmo utilizando versões de software ainda vulneráveis.

Nova orientação e versões mínimas de correção

Como dificuldade para localizar as versões corretas persistiu em algumas agências, a CISA publicou uma lista de versões mínimas seguras para corrigir ambas as falhas, além de nova orientação temporária para mitigação de riscos.
Para dispositivos ainda não atualizados ou corrigidos após 26 de setembro de 2025, a CISA recomenda ações adicionais para mitigar ameaças ativas e potenciais.

Recomendações

• Agências devem confirmar a atualização de todos os dispositivos ASA e Firepower para versões seguras.
• Recomenda-se coletar forense, avaliar sinais de comprometimento e desconectar dispositivos em end-of-support.
• Aplicar as recomendações e a lista de versões mínimas disponíveis na orientação mais recente da CISA.

O alerta reforça a importância de validar versões aplicadas, garantir inventário atualizado dos ativos críticos e seguir as diretrizes oficiais em caso de campanhas em andamento.