A Cisco emitiu um alerta urgente nesta semana após identificar uma nova onda de ataques explorando vulnerabilidades conhecidas em firewalls Cisco ASA (Adaptive Security Appliance) e Cisco FTD (Firepower Threat Defense). A falha firewall Cisco, que antes era usada para comprometer completamente os dispositivos por meio de execução remota de código (RCE), agora está sendo explorada com outro objetivo: derrubar os equipamentos e causar ataques de negação de serviço (DoS) por loops de reinicialização.
As vulnerabilidades envolvidas, CVE-2025-20362 e CVE-2025-20333, já estavam sendo exploradas por grupos avançados de ameaças desde meados de 2024. No entanto, a Cisco confirmou que, desde o início de novembro de 2025, uma nova variante está sendo usada em larga escala, com foco em interromper completamente operações de rede.
Este artigo detalha o que mudou, quais CVE estão sendo exploradas, a relação com a campanha ArcaneDoor, e o que os administradores de rede e profissionais de segurança devem fazer imediatamente para se proteger.
O que há de novo: De controle total a ataques DoS
As falhas CVE-2025-20362 e CVE-2025-20333 já eram conhecidas por permitir que atacantes obtivessem acesso remoto não autenticado e, em seguida, controle total sobre o firewall. Essa combinação de vulnerabilidades era uma das mais críticas descobertas em infraestruturas Cisco nos últimos anos, com exploração ativa desde a campanha ArcaneDoor.
Agora, a situação evoluiu. A Cisco confirmou que, a partir de 5 de novembro, surgiu uma nova variante de ataque que usa as mesmas falhas, mas com um propósito diferente: forçar o dispositivo a reiniciar repetidamente, resultando em loop de reboot e indisponibilidade completa do serviço.
Ou seja, em vez de buscar acesso persistente ou espionagem, os agentes de ameaça estão usando a vulnerabilidade Cisco ASA como arma de DoS, derrubando firewalls e interrompendo o tráfego de rede de empresas e órgãos públicos.
As vulnerabilidades críticas em foco
A porta de entrada (CVE-2025-20362)
A CVE-2025-20362 é a falha inicial que permite a acessos indevidos a endpoints restritos dos dispositivos Cisco ASA e Cisco FTD, sem exigir autenticação. Isso possibilita que agentes remotos executem requisições que deveriam ser limitadas a administradores, comprometendo a segurança da interface de gerenciamento.
Na prática, essa vulnerabilidade abre o caminho para que o invasor interaja com o sistema sem credenciais válidas, criando uma brecha para exploração em cadeia.
A escalada (CVE-2025-20333)
A segunda falha, CVE-2025-20333, é o estágio de escalação de privilégios e execução remota de código (RCE). Uma vez que o invasor obtém acesso ao sistema usando a falha anterior, ele pode explorar essa vulnerabilidade para executar comandos arbitrários e tomar o controle total do dispositivo.
Quando encadeadas, essas duas vulnerabilidades representam uma das combinações mais críticas já vistas em produtos Cisco, e agora estão sendo utilizadas não apenas para invasão, mas para derrubar a infraestrutura.
ArcaneDoor: Atores estatais por trás da campanha
A campanha ArcaneDoor foi associada pela Cisco Talos e pela CISA (Cybersecurity and Infrastructure Security Agency) a grupos de espionagem patrocinados por estados-nação, rastreados como UAT4356 ou STORM-1849 pela Microsoft.
Esses atores já foram responsáveis por ataques direcionados a infraestruturas governamentais e de telecomunicações em 2024, explorando falhas zero-day como CVE-2024-20353 e CVE-2024-20359. Nessas operações, utilizaram ferramentas avançadas como os malwares Line Dancer e Line Runner, capazes de manipular diretamente o tráfego e persistir em dispositivos comprometidos.
O reaproveitamento das falhas CVE-2025-20362 e CVE-2025-20333 para causar DoS massivo mostra uma mudança de foco estratégica, provavelmente voltada para interrupção de serviços críticos e teste de resiliência de redes.
Milhares de dispositivos ainda estão expostos
De acordo com o Shadowserver Foundation, mais de 34.000 instâncias de Cisco ASA e FTD ainda estão expostas à internet e vulneráveis às falhas exploradas na campanha ArcaneDoor.
Em setembro, esse número ultrapassava 50.000 dispositivos, indicando que, embora muitos administradores tenham aplicado correções, a superfície de ataque ainda é significativa.
Em resposta, a CISA emitiu uma diretiva de emergência no final de setembro ordenando que todas as agências federais norte-americanas corrigissem ou desconectassem imediatamente os firewalls vulneráveis até que atualizações fossem aplicadas.
No entanto, o cenário global mostra que centenas de empresas privadas e órgãos públicos ainda não corrigiram suas versões afetadas, tornando-se alvos fáceis para ataques de negação de serviço.
Conclusão: Ação imediata é necessária
A ameaça evoluiu de uma simples exploração de vulnerabilidades para ataques que paralisam completamente firewalls Cisco ASA e FTD. A falha firewall Cisco agora representa um risco direto à disponibilidade de redes corporativas e governamentais, com potencial para causar grandes interrupções operacionais.
A mensagem da Cisco é clara e urgente: “Recomendamos que os clientes apliquem as correções de software disponíveis imediatamente.”
Administradores devem verificar todos os dispositivos ASA 5500-X e FTD em operação, garantir que estão rodando versões corrigidas e monitorar logs de eventos para identificar possíveis tentativas de reinicialização forçada.
A ação rápida é a única maneira de evitar interrupções críticas e garantir a continuidade da operação frente à nova fase da campanha ArcaneDoor.
