A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente nesta quinta-feira (13), destacando que várias agências federais ainda permanecem vulneráveis a duas falhas críticas em firewalls Cisco, mesmo após acreditarem ter aplicado os patches necessários. A situação evidencia que muitas organizações confundiram “corrigir” com “estar seguro”, deixando sistemas críticos expostos a ataques ativos. Este alerta reforça a importância do gerenciamento adequado de patches e da verificação de conformidade em ambientes sensíveis.
O problema não é apenas técnico, mas estratégico: a falha em aplicar corretamente os patches para as vulnerabilidades CVE-2025-20362 e CVE-2025-20333 coloca dados governamentais e corporativos em risco imediato. Este artigo detalha o que aconteceu, como as falhas funcionam, e por que administradores de rede devem agir rapidamente para evitar exploração pela campanha ArcaneDoor, que continua ativa desde novembro de 2023.
Além disso, a situação serve como alerta para empresas de todos os setores. A falsa sensação de segurança causada por atualizações incompletas pode gerar consequências devastadoras, especialmente quando os invasores exploram vulnerabilidades conhecidas como zero-day. A lição é clara: não basta aplicar um patch, é preciso garantir que ele cubra todas as versões afetadas e seja implementado em toda a rede.
O que são as falhas ArcaneDoor nos firewalls Cisco?
As CVE-2025-20362 e CVE-2025-20333 afetam Cisco Adaptive Security Appliances (ASA) e Firepower, e têm sido exploradas por grupos vinculados à campanha ArcaneDoor. A primeira, CVE-2025-20362, permite que invasores acessem endpoints restritos sem autenticação, enquanto a segunda, CVE-2025-20333, possibilita execução remota de código. Isoladamente, cada vulnerabilidade é grave, mas combinadas permitem o controle completo de dispositivos críticos, representando risco severo para redes corporativas e governamentais.
A campanha ArcaneDoor não é nova. A Cisco já havia emitido alertas em setembro sobre essas falhas, ligando-as a explorações anteriores, como CVE-2024-20353 e CVE-2024-20359, e destacando que elas já eram exploradas como zero-day desde novembro de 2023. A complexidade do ataque e a capacidade de se mover lateralmente dentro das redes tornam a situação ainda mais crítica.
O erro crítico: “Corrigido” não significava “seguro”
O alerta da CISA deixa claro o que muitos administradores falharam em entender: acreditar que a aplicação de um patch garante segurança plena nem sempre é correto. De acordo com o comunicado, “a CISA tem conhecimento de várias organizações que acreditavam ter aplicado as atualizações necessárias, mas que, na verdade, não haviam atualizado para a versão mínima do software.”
A situação agravou-se devido à Diretiva de Emergência 25-03, emitida em setembro, que exigia que todas as agências corrigissem os dispositivos em até 24 horas. A CISA agora confirma que muitas entidades não cumpriram a ordem de forma correta, mantendo sistemas críticos vulneráveis à exploração ativa.
O monitoramento constante da agência mostra que ataques ainda estão acontecendo. A CISA afirma: “A CISA está monitorando a exploração ativa dessas versões vulneráveis em agências FCEB”. Ou seja, dispositivos que deveriam estar protegidos continuam sendo alvo de invasores.
Milhares de dispositivos ainda estão vulneráveis
Dados do Shadowserver indicam que mais de 30.000 dispositivos Cisco vulneráveis permanecem online, apesar da queda em relação aos 45.000 registrados anteriormente. Este número ilustra a gravidade da situação: muitas organizações ainda enfrentam risco real de comprometimento, e a falsa sensação de segurança gerada por atualizações incompletas é um perigo silencioso.
Para administradores, a lição é clara: gerenciar patches é mais do que clicar em atualizar. É necessário verificar versões, implementar correções em toda a rede e auditar continuamente a conformidade dos sistemas críticos.
O que fazer agora? A nova orientação da CISA
A CISA emitiu novas orientações para ajudar agências e organizações privadas a garantir que todos os dispositivos ASA e Firepower estejam devidamente protegidos. O ponto central é simples, mas crucial: aplicar a versão mais recente do software, e não apenas a versão mínima que corrige parcialmente a falha. A agência enfatiza que todos os dispositivos da rede devem ser atualizados, incluindo aqueles não expostos à Internet, para evitar ataques de movimento lateral.
Além disso, a agência recomenda auditorias internas detalhadas e ferramentas de verificação para confirmar se as atualizações foram aplicadas corretamente, garantindo que nenhuma máquina permaneça vulnerável inadvertidamente.
Conclusão: A lição sobre gerenciamento de patches
O alerta da CISA sobre firewalls Cisco mostra que a descoberta de vulnerabilidades críticas é apenas parte do problema. O maior risco surge quando patches são aplicados de forma incompleta ou sem validação, deixando sistemas essenciais expostos. A campanha ArcaneDoor continua ativa, e outras ameaças, como Samsung/LandFall e WatchGuard, reforçam que o cenário de cibersegurança não oferece pausas.
Para administradores de rede, profissionais de SecOps e empresas que utilizam dispositivos Cisco ASA ou Firepower, a hora de agir é agora. Verifique imediatamente a versão do software de todos os dispositivos e garanta que estão executando a atualização mais recente fornecida pela Cisco. Ignorar este passo crítico pode significar transformar uma atualização aparentemente resolutiva em uma vulnerabilidade aberta para invasores.
Se você é responsável por redes críticas, não espere o próximo alerta. A segurança começa com ação rápida, auditoria constante e atenção aos detalhes que fazem a diferença entre sistemas seguros e comprometidos.
