Le principali agenzie di tutto il mondo, hanno lanciato l’allarme per una minaccia critica all’infrastruttura di rete: le vulnerabilità dei dispositivi Cisco Adaptive Security Appliance (ASA) e Firepower sono state colpite da una raffica di attacchi. L’allerta fa seguito all’emissione della Direttiva di Emergenza 25-03 da parte della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti , che impone a tutte le agenzie civili federali di rivedere e proteggere urgentemente i propri dispositivi per fermare una campagna di attacchi su larga scala.

L’incidente ha coinvolto lo sfruttamento di diverse vulnerabilità precedentemente sconosciute nei sistemi Cisco, consentendo l’esecuzione remota di codice arbitrario senza autorizzazione e persino la modifica della ROM per mantenere il controllo dopo riavvii e aggiornamenti. Sono stati interessati sia ASA che Firepower Threat Defense.

La stessa Cisco, come riportato nel precedente articolo, collega l’attacco alla campagna ArcaneDoor, registrata per la prima volta nel 2024. Mentre alcune moderne protezioni Firepower dispongono di un meccanismo Secure Boot in grado di rilevare le manomissioni, un numero significativo di ASA rimane completamente vulnerabile.

La situazione ha avuto risonanza ben oltre gli Stati Uniti. L’agenzia nazionale francese per la sicurezza informatica, CERT-FR, ha pubblicato il bollettino CERTFR-2025-ALE-013, confermando che le vulnerabilità CVE-2025-20333 e CVE-2025-20362 vengono sfruttate in varie versioni di ASA e FTD.

L’Australian Cyber Security Centre (ACSC) ha raccomandato ai possessori di ASA 5500-X di disattivare IKEv2 e SSL VPN fino alla disponibilità delle patch.

Il Canadian Cyber Security Centre ha messo in guardia dalla diffusione globale di malware sofisticati, particolarmente pericolosi per i dispositivi non più supportati.

La Direttiva 25-03 descrive in dettaglio le azioni delle agenzie statunitensi. Entro la fine di settembre, le organizzazioni devono inviare al CISA i dump di memoria di tutti gli ASA accessibili al pubblico, disattivare e registrare eventuali dispositivi compromessi, aggiornare tutti i software e iniziare la dismissione delle apparecchiature, con supporto in scadenza il 30 settembre 2025.

Per i modelli la cui fine del supporto è prevista per agosto 2026, tutti gli aggiornamenti devono essere installati entro 48 ore dalla pubblicazione. Tutte le entità sono tenute a fornire a CISA un rapporto completo sullo stato di avanzamento e sulle azioni intraprese entro il 2 ottobre 2025.

Questi requisiti si applicano non solo alle apparecchiature situate direttamente presso le agenzie federali, ma anche alle infrastrutture di servizi di terze parti e cloud, inclusi i fornitori FedRAMP. Le agenzie rimangono responsabili della conformità in tutti gli ambienti. Per coloro che non dispongono delle risorse tecniche necessarie, CISA ha offerto assistenza specialistica.

Successivamente, entro il 1° febbraio 2026, verrà presentato un rapporto sull’attuazione della direttiva al Dipartimento per la Sicurezza Interna degli Stati Uniti, al Direttore Nazionale per le Politiche Cibernetiche, all’Office of the Bureau of Investigation (OMB) e all’Office of the Federal CISO. Viene consigliato vivamente anche alle aziende private e straniere di seguire la stessa procedura di raccolta di dati e ricerca di compromissioni per identificare possibili segnali di sfruttamento.

Pertanto, l’intero ecosistema Cisco ASA è a rischio, compresi i modelli legacy che non ricevono aggiornamenti.

Gli allarmi internazionali sottolineano che si tratta di un attacco globale su larga scala, in grado di disabilitare i sistemi critici se non si interviene immediatamente.

L'articolo Attacchi globali ai dispositivi Cisco: le Agenzie Cyber avvertono della crisi in corso proviene da il blog della sicurezza informatica.