Schedule a Strategy Call

CISA detalla riesgos y mitigación para los dispositivos de red Cisco

CISA advierte sobre vulnerabilidad crítica en switches de red utilizados en infraestructuras críticas

La Agencia de Seguridad Cibernética e Infraestructura de EE.UU. UU. (CISA) emitió la Directiva de Emergencia 25-03 debido a una campaña activa de hackers vinculada a ArcaneDoor, que explota vulnerabilidades zero-day en dispositivos Cisco ASA y Firepower. El riesgo es crítico porque los ataques permiten la ejecución remota de código y pueden manipular la memoria ROM del dispositivo, logrando que el compromiso persista incluso después de reinicios o actualizaciones.

Las Vulnerabilidades Explotadas

La directiva se basa en la explotación activa de dos fallas principales:

  • CVE-2025-20333: Permite la ejecución remota de código (RCE) en dispositivos Cisco ASA.
  • CVE-2025-20362: Permite el escalamiento de privilegios en el sistema.

El objetivo final de los atacantes es lograr una persistencia profunda al modificar la memoria ROM (memoria permanente), lo que hace que la limpieza tradicional sea ineficaz.

Acciones Obligatorias

Aunque la directiva es obligatoria para las agencias federales, las recomendaciones técnicas son vitales para cualquier organización que utilice infraestructura Cisco ASA o Firepower.

  1. Inventario Completo:
    • Identifica todos los dispositivos ASA (físicos, módulos o virtuales ASAv) y dispositivos Firepower con Threat Defense (FTD).
  2. Examen Forense Urgente:
    • Para dispositivos ASA/Firepower expuestos al público, extrae volcados de memoria (core dumps) y examina el firmware en busca de indicadores de compromiso. La revisión es crítica, pues el malware se esconde en la ROM.
  3. Desconexión de Dispositivos Obsoletos (EoS):
    • Si su modelo ASA tiene una fecha de fin de soporte (EoS) del 30 de septiembre de 2025 o anterior, debe ser desconectado permanentemente y reemplazado. Si no se puede desconectar de inmediato, debe actualizarse al software más reciente mientras se planifica su retiro.
  4. Actualización inmediata:
    • Aplique los últimos parches de Cisco a todos los dispositivos ASA, ASAv, Firepower y FTD sin demora.
  5. Respuesta a Sospechas:
    • Si detecta un compromiso, desconecte el dispositivo de la red inmediatamente, pero no lo apagues ni lo reinicies, para preservar el estado de la memoria para el análisis forense.
Implicaciones del ataque

El aspecto más peligroso de esta campaña es la manipulación de la memoria ROM. Si un atacante modifica la ROM, el compromiso sobrevive a los reinicios y a las reinstalaciones de firmware. Aunque algunos dispositivos Cisco con Secure Boot podrían detectar esta manipulación, muchos no lo hacen. Por ello, la única defensa segura es una inspección forense profunda y la sustitución de dispositivos obsoletos que ya no reciben protección.

Recomendaciones
  • Bloquea la Exposición: Identifica cuáles de tus dispositivos ASA y Firepower están expuestos a Internet o redes no confiables y aplica restricciones de acceso de inmediato.
  • Revisa Core Dumps: Revisa los volcados de memoria de los dispositivos expuestos buscando cualquier indicador de compromiso, siguiendo las guías de análisis forense.
  • Auditoría de EoS: Establece un plan acelerado para reemplazar todos los equipos cuyo soporte haya finalizado.
Back to all Post

Related Post