Muitos firewalls Cisco ASA ainda não são seguros, apesar dos alertas de ataque de dia zero
O número é fornecido pela Fundação Shadowser, que é digitalização para instâncias vulneráveis de Cisco ASA/FTD voltadas para a Internet todos os dias. A maioria deles está localizada nos EUA e o restante principalmente no Reino Unido, Japão, Rússia, Alemanha e Canadá.
O aumento na varredura ASA da Cisco precedeu a divulgação pública dos ataques
Em maio de 2025, a Cisco foi contratada por diversas agências de segurança cibernética para dar suporte à investigação de ataques direcionados a organizações governamentais por meio de dispositivos Cisco ASA Série 5500-X.
“Observou-se que os invasores exploraram várias vulnerabilidades de dia zero e empregaram técnicas avançadas de evasão, como desativar o registro, interceptar comandos CLI e travar dispositivos intencionalmente para evitar análises diagnósticas,” a empresa disse.
Eles também observaram que as táticas, técnicas e procedimentos (TTPs) e o malware personalizado empregados pelos atacantes apontam para o envolvimento dos mesmos (suspeito patrocinado pelo Estado) ator de ameaça como o Campanha de ataque ArcaneDoor.
No final de agosto, ou seja, várias semanas antes da Cisco e das agências de segurança cibernética compartilharem detalhes sobre os ataques e os dias zero explorados, Greynoise detectado picos de varredura em dispositivos Cisco ASA atingindo portais de login ASA, IOS Telnet/SSH e personas de software ASA. A empresa alertou na época que futuras divulgações de vulnerabilidades provavelmente eram iminentes.
É impossível dizer se essas varreduras foram realizadas pelo mesmo agente da ameaça.
Clientes da Cisco aconselhados a agir rapidamente
O certo é que os dispositivos Cisco ASA e FTD são implantados por muitas organizações governamentais e empresas do setor privado, e são de alto valor para todos os tipos de invasores.
As organizações deveriam verificar se as suas instâncias são vulneráveis e se o são, verifique indicadores de compromisso e peça ajuda à Cisco se eles não tiverem certeza de como fazer isso.
A empresa também aconselha os clientes a substituir dispositivos que em breve chegarão desatualizados e atualizar os dispositivos vulneráveis para uma versão fixa o mais rápido possível. Senhas, certificados e chaves locais em dispositivos potencialmente comprometidos também devem ser substituídos.
“A melhor maneira de conseguir isso é redefinir o dispositivo para os padrões de fábrica após a atualização para uma versão fixa e, em seguida, reconfigurar o dispositivo do zero com novas senhas e certificados e chaves gerados novamente”, observou a Cisco.
As organizações afetadas também devem relatar qualquer evidência de comprometimento à agência de segurança cibernética em seus respectivos países.
As organizações que usam roteadores e switches da Cisco destinados a ambientes SMB, empresariais e industriais também devem atualizar o firmware para corrigir uma série de vulnerabilidades, incluindo uma (CVE-2025-20352) que foi explorado em ataques de dia zero. (Atualmente, não há nenhuma indicação de que esses ataques e aqueles direcionados a dispositivos ASA sejam realizados pelo mesmo agente de ameaça.)
Fonte: HelpNetSecurity
Veja também:
- Pesquisa aponta risco crítico à soberania de dados
- A Integração entre Programas de Compliance e a LGPD
- SonicWall lança atualização de firmware SMA100 para eliminar malware rootkit
- Após ser hackeada SonicWall pede troca de senhas
- ChatGPT alvo de ataque de roubo de dados do lado do servidor
- A ilusão da IA nos negócios
- Check Point Software alerta para riscos de segurança no mercado de NFTs
- IA não é um destino, e sim, uma jornada!
- As 10 melhores empresas de testes de penetração como serviço (PTaaS) em 2025
- Hackers usam IA para burlar antivírus
- Privacidade DNS do Firefox
- Cibersegurança além do perímetro
Be the first to comment