As falhas Cisco voltaram a ocupar o centro das atenções no cenário de cibersegurança global. A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) emitiu uma rara Diretiva de Emergência (25-03), ordenando que todas as agências federais identifiquem, isolem e atualizem imediatamente seus firewalls afetados.
O alerta envolve duas vulnerabilidades de zero-day — CVE-2025-20333 e CVE-2025-20362 — já sendo exploradas de forma ativa em uma campanha de espionagem cibernética altamente sofisticada conhecida como ArcaneDoor.
Embora o foco inicial seja o governo dos EUA, a gravidade das falhas tem impacto global, uma vez que os dispositivos Cisco Adaptive Security Appliance (ASA) e Firewall Threat Defense (FTD) são amplamente utilizados em organizações públicas e privadas no mundo todo.
O que é a diretiva de emergência 25-03?
A Diretiva de Emergência 25-03 emitida pela CISA não é uma recomendação, mas uma ordem obrigatória. Ela exige que as agências federais:
- Identifiquem todos os dispositivos Cisco ASA e Cisco FTD em suas redes.
- Realizem a coleta de dados forenses para investigar possíveis comprometimentos.
- Desconectem imediatamente equipamentos comprometidos.
- Apliquem as atualizações críticas disponibilizadas pela Cisco.
O prazo é extremamente curto: até 26 de setembro, todas as agências devem comprovar conformidade. Além disso, dispositivos que já estão em fim de suporte (End-of-Life) devem ser desativados permanentemente, reforçando a gravidade da situação.
As vulnerabilidades CVE-2025-20333 e CVE-2025-20362 detalhadas
O perigo da combinação: controle total não autenticado
As duas vulnerabilidades identificadas pela Cisco e pela CISA representam uma ameaça crítica quando exploradas em conjunto:
- A CVE-2025-20362 permite que um atacante não autenticado acesse URLs restritas dos sistemas.
- Já a CVE-2025-20333 possibilita a execução remota de código (RCE) no dispositivo afetado.
Combinadas, essas falhas permitem que um invasor obtenha controle total do firewall sem a necessidade de credenciais ou login, representando um risco severo para a segurança das redes.
A sofisticação do ataque: modificação da ROMMON
O nível de sofisticação observado surpreendeu especialistas. Os atacantes conseguiram modificar a ROMMON (Read-Only Memory Monitor) — um componente de baixo nível responsável pelo processo de inicialização dos dispositivos.
Essa alteração garante persistência no sistema, mesmo após reinicializações ou atualizações de software, uma técnica raramente vista em ataques convencionais e que demonstra o alto grau de preparo dos invasores.
ArcaneDoor: a campanha de espionagem por trás dos ataques
As falhas não surgiram em um vácuo. Elas estão ligadas à campanha de espionagem ArcaneDoor, conduzida pelo grupo UAT4356 (também conhecido como STORM-1849).
Esse mesmo grupo já havia explorado outras vulnerabilidades de zero-day Cisco em 2024, demonstrando um foco contínuo nos produtos da empresa.
Entre as ferramentas utilizadas estão malwares customizados como Line Dancer e Line Runner, projetados especificamente para manter o controle e o sigilo dentro das redes comprometidas.
Segundo analistas, o objetivo do ArcaneDoor não é apenas a intrusão, mas a espionagem estratégica contra infraestruturas críticas de governos e empresas.
Impacto e o que você deve fazer agora
O risco vai além das agências federais
Apesar de a Diretiva 25-03 da CISA se aplicar diretamente às agências do governo dos EUA, os ataques já estão mirando organizações globais, tanto do setor público quanto privado.
Isso significa que qualquer empresa que utilize firewalls Cisco ASA ou FTD deve tratar essa ameaça com a mesma urgência das autoridades norte-americanas.
Passos recomendados para administradores de rede
Para reduzir os riscos e proteger sua infraestrutura, especialistas orientam:
- Identificar todos os dispositivos Cisco ASA e FTD em operação.
- Atualizar imediatamente para as versões corrigidas disponibilizadas pela Cisco.
- Investigar sinais de comprometimento seguindo as diretrizes publicadas pela Cisco e pela CISA.
- Reavaliar o uso de equipamentos legados em fim de suporte, substituindo-os por versões suportadas e seguras.
O cumprimento rigoroso dessas medidas é essencial para mitigar a ameaça representada pela campanha ArcaneDoor.
Conclusão: uma corrida contra o tempo na segurança de redes
As falhas Cisco reveladas nesta semana são um alerta contundente sobre a sofisticação crescente das ameaças cibernéticas. A resposta imediata da CISA com uma diretiva de emergência mostra que a gravidade é real e urgente.
Com ataques ativos vinculados à campanha ArcaneDoor, o tempo é o recurso mais valioso. Cada dia sem correção aumenta o risco de intrusão em redes críticas.
Não espere para se tornar uma vítima. Verifique seus sistemas, atualize seus firewalls e siga as recomendações da Cisco e da CISA para proteger sua rede contra esses ataques avançados.
