Due zero-day Cisco ASA/FTD (CVE-2025-20333 e CVE-2025-20362) sfruttate in attacchi avanzati ArcaneDoor: rischio critico per firewall enterprise
L’Agenzia per la Cybersicurezza Nazionale (ACN) e CSIRT Italia hanno segnalato lo sfruttamento attivo di due vulnerabilità critiche identificate come CVE-2025-20333 (CVSS 9.9) e CVE-2025-20362 (CVSS 6.5), rispettivamente buffer overflow e bypass autorizzativo nella gestione delle richieste HTTP/HTTPS dirette al WebVPN di Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD).
Il bug CVE-2025-20333 consente l’esecuzione di codice remoto (RCE) con privilegi root da parte di un attaccante che possieda credenziali VPN valide. Tuttavia, CVE-2025-20362 permette il login bypass e l’accesso a URL riservati SENZA autenticazione, consentendo agli attaccanti di concatenare le vulnerabilità per ottenere RCE senza credenziali preesistenti.
La campagna ArcaneDoor, attribuita ad attori statali cinesi (Storm-1849/UAT4356), sfrutta la catena exploit dal maggio 2025, colpendo firewall di enti governativi, aziende strategiche e infrastrutture critiche mondiali. L’attività malevola prevede anche la modifica della ROM del dispositivo, garantendo persistenza anche dopo reboot o aggiornamenti firmware. Dispositivi ASA con fine supporto ravvicinato sono il target principale, esponendo rischi di compromissione prolungata e difficilmente rilevabile.
Prodotti coinvolti:
-
Cisco Secure Firewall ASA Software (vari modelli, incluse le serie 5500-X e Firepower FTD)
-
Cisco IOS, IOS XE, IOS XR (in forma meno impattante, suscitando meno allarme rispetto ai firewall)
Azioni consigliate:
-
Applicare immediatamente le patch pubblicate il 25 settembre 2025
-
Seguire le direttive ACN e CISA entro le scadenze specifiche (disconnessione hardware fuori supporto, aggiornamenti da completare in 48 ore)
-
Verificare indicatori di compromissione, persistenza ROM e pianificare la sostituzione hardware obsoleti
-
Non esporre l’accesso WebVPN direttamente su Internet
-
Monitorare log e traffico per anomalie SSLVPN
Queste vulnerabilità ridefiniscono il rischio cyber per i dispositivi di perimeter security erosi dall’obsolescenza, evidenziando la necessità di patch management tempestivo e segmentazione accurata degli asset di sicurezza.