Impatto Sistemico

Critico (79.35)

Sintesi

Dopo gli avvisi di sicurezza diffusi di recente e trattati nell’ambito dell’alert AL01/250925/CSIRT-ITA , Cisco ha pubblicato ulteriori 4 vulnerabilità di sicurezza, di cui una con gravità “critica” e due zero-day sfruttate attivamente in rete.

Nel dettaglio, le zero-day consentirebbero l’esecuzione di codice arbitrario e l’accesso a informazioni sensibili su prodotti Adaptive Security Appliance (ASA) e Firewall Threat Defense (FTD) vulnerabili.

Tipologia

• Privilege Escalation
• Remote Code Execution

Descrizione e potenziali impatti

Nel dettaglio, la prima vulnerabilità di tipo zero-day – identificata tramite la CVE-2025-20333 e con score CVSS v3.1 pari a 9.9 – è causata da una errata validazione dei parametri di input forniti dall’utente nelle richieste HTTP(S). Un attaccante, in possesso di credenziali VPN valide, può sfruttare tale vulnerabilità inviando richieste HTTP opportunamente predisposte, consentendo l’esecuzione di codice arbitrario con privilegi elevati.

La seconda vulnerabilità di tipo zero-day – identificata tramite la CVE-2025-20362 e con score CVSS v3.1 pari a 6.5 – è anch’essa dovuta da un’errata validazione dei parametri di input nelle richieste HTTP(S). Un attaccante potrebbe sfruttare questa vulnerabilità inviando richieste HTTP opportunamente predisposte a un server web su un dispositivo vulnerabile, ottenendo l’accesso a URL riservati senza autenticazione.

Si evidenzia inoltre che il vendor ha segnalato come attori malevoli stiano già sfruttando le vulnerabilità descritte, riuscendo a modificare la ROM in modo da garantire la persistenza di accesso al dispositivo anche a seguito di riavvii o aggiornamenti di sistema. Cisco ha confermato che tali attività fanno parte di una campagna, su larga scala, attribuita al gruppo ArcaneDoor, attiva almeno dall’inizio del 2024.

Prodotti e/o versioni affette

Cisco

• Secure Firewall Adaptive Security Appliance (ASA) Software
• Secure Firewall Threat Defense (FTD) Software
• IOS Software
• IOS XE Software
• IOS XR Software

N.B. Si evidenzia che i prodotti elencati risultano vulnerabili solo in specifiche circostanze indicate nei relativi bollettini di sicurezza.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le azioni di mitigazioni seguendo le indicazioni dei bollettini di sicurezza disponibili ai link nella sezione Riferimenti.

Inoltre si raccomanda di seguire le seguenti misure:

• Per dispositivi ASA hardware con supporto terminato al 30 settembre 2025 o prima: devono essere disconnessi entro quella data. Se non è possibile disconnetterli, devono comunque applicarsi gli ultimi aggiornamenti Cisco disponibili, e va pianificata la dismissione.
• Per modelli hardware ASA con data di fine supporto previsto il 31 agosto 2026: applicare gli ultimi aggiornamenti entro il 26 settembre 2025 e mantenersi aggiornati entro 48 ore da qualsiasi nuova release.
• Per ASAv e Firepower FTD: applicare le patch più aggiornate entro il 26 settembre 2025, e ogni aggiornamento entro 48 ore dal rilascio da Cisco.

Di seguito sono riportate le sole CVE relative alle vulnerabilità sfruttate attivamente in rete e con gravità “critica”: