CCNeko berriak
CCN-CERT AL 08/25 Campaña de explotación activa de tres vulnerabilidades críticas en dispositivos Cisco ASA y FTD
- Xehetasunak
Fecha de publicación: 26/09/2025
Nivel de peligrosidad: CRÍTICO
- El CCN-CERT recomienda a todas las organizaciones aplicar inmediatamente las actualizaciones publicadas por la compañía y seguir todas sus indicaciones.
El CCN-CERT, del Centro Criptológico Nacional, alerta de la existencia de una campaña activa vinculada a ArcaneDoor que explota tres vulnerabilidades críticas en dispositivos Cisco Adapttive Security Appliance (ASA) y Secure Firewall Threat Defense (FTD).
Dichas vulnerabilidades permitirían a los atacantes la ejecución remota de código y la manipulación de la memoria ROM (memoria permanente), logrando comprometer los dispositivos de forma persistente. Del mismo modo, un atacante con credenciales de usuario VPN válidas podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas específicamente a un dispositivo afectado.
Vulnerabilidades y recursos afectados
| CVE | Nombre del producto | Versión afectada | Actualización |
| CVE-2025-20333 | Cisco ASA Software | 9.16, 9.17, 9.18, 9.19, 9.20, 9.22 | 9.16.4.85, 9.17.1.45, 9.18.4.47, 9.19.1.37, 9.20.3.7, 9.22.1.3 |
| CVE-2025-20333 | Cisco FTD Software | 7.0, 7.2, 7.4, 7.6 | 7.0.8.1, 7.2.9, 7.4.2.4, 7.6.1 |
| CVE-2025-20363 | Cisco ASA Software | 9.16, 9.18, 9.19, 9.20, 9.22, 9.23 | 9.16.4.84, 9.18.4.57, 9.19.1.42, 9.20.3.16, 9.22.2, 9.23.1.3 |
| CVE-2025-20363 | Cisco FTD Software | 7.0, 7.2, 7.4, 7.6, 7.7 | 7.0.8, 7.2.10, 7.4.2.3, 7.6.1, 7.7.10 |
| CVE-2025-20362 | Cisco ASA Software | 9.16, 9.18, 9.20, 9.22, 9.23 | 9.16.4.85, 9.18.4.67, 9.20.4.10, 9.22.2.14, 9.23.1.19 |
| CVE-2025-20362 | Cisco FTD Software | 7.0, 7.2, 7.4, 7.6, 7.7 | 7.0.8.1, 7.2.10.2, 7.4.2.4, 7.6.2.1, 7.7.10.1 |
Para ayudar a los clientes a determinar su exposición a vulnerabilidades en Cisco Secure Firewall ASA, Secure FMC y Secure FTD Software, la compañía ha desarrollado una herramienta de detección: Cisco Software Checker.
La vulnerabilidad CVE-2025-20363 afectaría también a versiones de los productos IOS Software, IOS XE Software, and IOS XR Software Web Services: CVE-2025-20363 Advisory.
Recomendaciones
El CCN-CERT recomienda a todas las organizaciones realizar las siguientes acciones de forma inmediata:
- Aplicar las versiones actualizadas de los productos tan pronto como sea posible a todos los dispositivos ASA, ASAv, Firepower y FTD.
- Uso de la herramienta dispuesta por Cisco para consultar las vulnerabilidades y versiones parcheadas de los productos: https://sec.cloudapps.cisco.com/security/center/softwarechecker.x
- Realizar un inventario completo:
- Identifique todos los dispositivos ASA (físicos, módulos o virtuales ASAv) y dispositivos Firepower con Threat Defense (FTD).
- Examen Forense Urgente:
- Para dispositivos ASA/Firepower expuestos al público, extrae volcados de memoria (core dumps) y examina el firmware en busca de indicadores de compromiso. Hacer uso de la guía publicada por CISA para ello: https://www.cisa.gov/news-events/directives/supplemental-direction-ed-25-03-core-dump-and-hunt-instructions. La revisión es crítica, pues el malware se esconde en la ROM.
- Desconexión de Dispositivos Obsoletos (EoS):
- Si su modelo ASA tiene una fecha de fin de soporte (EoS) del 30 de septiembre de 2025 o anterior, debe ser desconectado permanentemente y reemplazado. Si no se puede desconectar de inmediato, debe actualizarse al software más reciente mientras se planifica su retiro.
- Si detecta un compromiso, desconecte el dispositivo de la red inmediatamente, pero no lo apague ni lo reinicie, para preservar el estado de la memoria para el análisis forense.
Más información:


