Os firewalls Cisco ASA estão recebendo uma série de ataques sofisticados que exploraram vulnerabilidades críticas. Ontem (25 de setembro de 2025), a Cisco publicou um Event Response detalhando os incidentes, que envolvem principalmente dispositivos ASA 5500-X Series com serviços de VPN web habilitados.
O alerta não se limita a clientes internacionais. Muitas organizações brasileiras ainda utilizam modelos da linha ASA em ambientes críticos, o que torna o tema particularmente relevante.
Para entender o impacto, vamos analisar os pontos principais: natureza do ataque, dispositivos afetados e as ações recomendadas pela Cisco.
Natureza do ataque: zero-days e persistência
Os atacantes exploraram múltiplas vulnerabilidades zero-day em versões antigas do software Cisco ASA. A campanha é atribuída ao mesmo grupo responsável pelo ArcaneDoor, revelado em 2024.
Segundo o relatório, os adversários empregaram técnicas avançadas de evasão, como desabilitar logs, interceptar comandos no CLI e até forçar falhas nos dispositivos para impedir análises forenses. Em alguns casos, foi identificado um mecanismo de persistência que alterava o ROMMON, permitindo sobrevivência a reinicializações e upgrades de software.
Um ponto crucial: essa persistência só foi observada em modelos anteriores ao Secure Boot e Trust Anchor, tecnologias que protegem contra manipulações do firmware. Portanto, os equipamentos mais recentes demonstraram maior resiliência.
Dispositivos afetados e status de suporte
Os ataques confirmados atingiram apenas modelos ASA 5500-X que não suportam Secure Boot e Trust Anchor, em especial os seguintes:
-
5512-X e 5515-X – suporte encerrado em agosto de 2022
-
5525-X, 5545-X e 5555-X – suporte encerrado em setembro de 2025
-
5585-X – suporte encerrado em maio de 2023
Já os modelos 5505-X, 5506H-X, 5506W-X, 5508-X e 5516-X permanecem suportados até agosto de 2026. Embora não tenham sido explorados, eles também estão próximos do fim de suporte, exigindo planejamento das organizações que ainda os utilizam.
Além disso, todos os dispositivos da linha Cisco Firepower e Secure Firewall com suporte a Secure Boot não apresentaram comprometimento confirmado. Essa informação reforça a necessidade de priorizar plataformas mais recentes em ambientes críticos.
Ações recomendadas para clientes
A Cisco destacou quatro etapas essenciais para lidar com a ameaça:
-
Identificar modelo e versão – Verificar se o equipamento está em execução em versões vulneráveis do ASA Software (como 9.12 e 9.14).
-
Avaliar configuração – Confirmar se os serviços de VPN web estão habilitados.
-
Remediar a vulnerabilidade –
-
Opção 1 (recomendada): atualizar para versões corrigidas do ASA ou migrar para hardware suportado.
-
Opção 2 (temporária): desabilitar todos os serviços SSL/TLS VPN e IKEv2 client services.
-
-
Recuperar dispositivos comprometidos – Em modelos sem Secure Boot, o boot em versões corrigidas remove automaticamente o mecanismo de persistência, registrando o log
firmware_update.log.
Em casos de suspeita de comprometimento, a recomendação é clara: resetar o equipamento para configurações de fábrica e reconfigurar com novas senhas, certificados e chaves.
Vulnerabilidades exploradas e atualizações disponíveis
Os pesquisadores confirmaram que as falhas CVE-2025-20333 e CVE-2025-20362 foram usadas na campanha. Ambas permitem execução remota de código e acesso não autorizado a dispositivos vulneráveis.
As versões corrigidas já estão disponíveis para ASA e FTD. Por exemplo:
-
ASA 9.16 → 9.16.4.85
-
ASA 9.18 → 9.18.4.67
-
FTD 7.2 → 7.2.10.2
-
FTD 7.4 → 7.4.2.4
Como ressaltou a Cisco no relatório: “Atualizar para uma versão de software corrigida interromperá a cadeia de ataque do agente da ameaça e recomenda fortemente que todos os clientes atualizem para versões de software corrigidas.”
Considerações finais
O incidente reforça um ponto já conhecido, mas muitas vezes negligenciado: manter firewalls atualizados é crítico para a resiliência de redes corporativas. Modelos em fim de suporte não apenas deixam de receber patches, mas também se tornam alvos preferenciais de grupos avançados.
No Brasil, onde diversos ambientes ainda operam com ASA antigos, a mensagem é clara: planejar a migração para plataformas modernas deixou de ser apenas uma recomendação de boas práticas — é uma necessidade urgente.
About The Author
