Campagna ArcaneDoor colpisce vulnerabilità del firewall Cisco ASA e FTD

Il 25 settembre 2025 tre nuove vulnerabilità (CVE) che colpiscono i prodotti di rete Cisco hanno scosso lo scenario globale della cybersecurity. Due di esse risultano già sfruttate sotto forma di attacchi zero-day ancora prima della divulgazione pubblica. Per garantire una risposta immediata, Greenbone ha integrato nell’OPENVAS ENTERPRISE FEED i test di rilevamento per tutti e tre i CVE ad alto rischio.

CVE-2025-20333 (CVSS 9.9) e CVE-2025-20362 (CVSS 6.5) colpiscono il web server VPN delle piattaforme Cisco Secure Firewall Adaptive Security Appliance (ASA) e Firewall Threat Defense (FTD), utilizzato per consentire ai dispositivi remoti l’accesso a una rete interna tramite SSL/TLS-based VPN. Queste due vulnerabilità possono essere concatenate per ottenere il completo controllo dei dispositivi non aggiornati e risultano già sfruttate nelle campagne di spionaggio ArcaneDoor. Una terza vulnerabilità, CVE-2025-20363 (CVSS 9.0), pur non essendo ancora classificata come attivamente sfruttata, è stata inclusa in numerosi avvisi di sicurezza nazionale insieme ai primi due. La sua portata è significativa, poiché interessa non solo Cisco ASA e FTD, ma anche Cisco IOS, IOS XE e IOS XR in determinate configurazioni.

L’OPENVAS ENTERPRISE FEED di Greenbone include controlli di rilevamento per ogni nuovo CVE ad alto rischio [1][2][3][4][5][6][7][8][9]. Puoi testare gratuitamente il prodotto e scansionare il tuo ambiente IT alla ricerca di queste e altre vulnerabilità. Di seguito, discutiamo alcuni aspetti della situazione attuale, tra cui la campagna di attacco, una breve descrizione tecnica delle tre vulnerabilità e una guida alla mitigazione.

Campagne di sfruttamento per Cisco ASA 5500-X

CVE-2025-20333 e CVE-2025-20362 sono state effettivamente sfruttate come zero-day contro dispositivi Cisco della serie ASA 5500-X privi di Secure Boot. Se concatenate, permettono ad aggressori non autenticati di ottenere il controllo completo del dispositivo. Le campagne che hanno sfruttato questi difetti hanno distribuito componenti come RayInitiator e LINE VIPER per stabilire persistenza [TA0003], eseguire comandi da remoto [TA0011] ed esfiltrare dati [TA0010]. Tali operazioni sono state attribuite alla campagna di cyber-spionaggio ArcaneDoor, attiva contro infrastrutture perimetrali fin dall’inizio del 2024 e caratterizzata da un elevato livello di sofisticazione. Le tecniche avanzate utilizzate negli attacchi includono:

• Compromissione del ROM Monitor (ROMMON) [004] e installazione di bootkit a livello pre-OS [T1542.003] per ottenere persistenza nascosta attraverso i riavvii.
• Intercettazione dell’interfaccia a riga di comando (CLI) [008]
• Disattivazione della registrazione (logging) [001]
• Cattura del traffico di rete [T1040]
• Bypass dei protocolli AAA, dei meccanismi di autenticazione, autorizzazione e accounting [004]

Non sono disponibili exploit PoC pubblici, ma CISA e Cisco hanno confermato che CVE-2025-20333 e CVE-2025-20362 sono già state sfruttate in the wild [1][2]. Sebbene lo sfruttamento del CVE-2025-20363 non sia stato ancora verificato, questo CVE è comunque incluso in numerosi avvisi di CERT nazionali che trattano le prime due vulnerabilità [3][4][5][6][7][8][9][10]. Per approfondire è disponibile l’analisi del malware pubblicata dall’NCSC (Regno Unito) [11] e le linee guida per la caccia agli Indicatori di Compromissione pubblicate dalla CISA [12].

Analisi tecnica dei nuovi CVE critici in Cisco

Tutti e tre i CVE derivano da una convalida errata degli input utente in richieste HTTPS [CWE-20]. In combinazione, CVE‑2025‑20333 e CVE‑2025‑20362 consentono ad un attaccante di ottenere l’esecuzione di codice arbitrario con privilegi root sul dispositivo compromesso. CVE‑2025‑20333 è la vulnerabilità che consente l’RCE, ma nel suo sfruttamento richiede credenziali VPN valide. CVE‑2025‑20362 fornisce un bypass dell’autenticazione. CVE‑2025‑20363 consente l’accesso non autenticato a URL riservati e ha una portata più ampia: oltre a Cisco ASA e FTD, interessa anche Cisco IOS, IOS‑XE e IOS‑XR in specifiche configurazioni.

Di seguito una sintesi tecnica di ciascun CVE:

• CVE-2025-20333 (CVSS 9.9): richieste HTTPS al server web VPN possono causare RCE arbitrario con privilegi root sui dispositivi Cisco ASA e FTD. Il difetto è classificato come buffer overflow [CWE-122] e, per essere sfruttato, necessita di credenziali VPN valide.
• CVE-2025-20362 (CVSS 6.5 ): consente ad attaccanti non autenticati di ottenere un bypass dell’autenticazione verso URL riservati del server web VPN su Cisco ASA e FTD. L’origine del problema è una mancanza di controllo dell’autorizzazione su percorsi HTTP sensibili [CWE-862].
• CVE-2025-20363 (CVSS 9.0 ): permette RCE non autenticato come root sul server web VPN di Cisco ASA/FTD; inoltre, con credenziali di basso privilegio un attaccante può ottenere RCE come root su Cisco IOS, Cisco IOS XE e Cisco IOS XR. La vulnerabilità è un heap‑based buffer overflow [CWE-122] dovuto a una convalida inadeguata dell’input nelle richieste HTTP.

Mitigazione e protezione per dispositivi a rischio

La CISA ha emesso una direttiva di emergenza per tutte le agenzie federali, richiedendo un intervento immediato per affrontare la minaccia in corso. Gli utenti dei prodotti interessati dovrebbero identificare, analizzare e mitigare senza indugio le istanze vulnerabili, al fine di proteggere le proprie operazioni. Per supportare l’analisi e la verifica delle eventuali compromissioni, consigliamo di seguire le Core Dump and Hunt Instructions fornite dalla CISA, insieme alla Detection Guide ufficiale di Cisco.

In caso di violazione, i dispositivi compromessi devono essere scollegati dalla rete ma non spenti e devono essere immediatamente attivati i piani di risposta agli incidenti (IRP) e le procedure di contenimento. Le organizzazioni colpite dovrebbero informare le autorità competenti e mettere a disposizione i dump principali per l’analisi. L’NCSC del Regno Unito ha pubblicato un’analisi del malware RayInitiator e LINE VIPER [1]. Per ulteriori dettagli, è possibile consultare gli avvisi ufficiali di Cisco [2][3][4]. Le piattaforme vulnerabili a CVE-2025-20333 e CVE-2025-20362 includono:

Hardware ASA, ASA Service Module (ASA-SM) ASA Virtual (ASAv) e il firmware ASA su Firepower 2100/4100/9300. Le versioni del software Cisco ASA interessate sono:

• 09:12 – < 9.12.4.72
• 09:14 – < 9.14.4.28
• 09:16 – < 9.16.4.85
• 09:17 – < 9.17.1.45
• 09:18 – < 9.18.4.67
• 09:19 – < 9.19.1.42
• 09:20 – < 9.20.4.10
• 09:22 – < 9.22.2.14
• 09:23 – < 9.23.1.19

Le apparecchiature Cisco FTD vulnerabili includono le seguenti versioni del software:

• 0 – < 7.0.8.1
• 1 – tutte le versioni
• 2 – < 7.2.10.2
• 3 – tutte le versioni
• 4 – < 7.4.2.4
• 6 – < 7.6.2.1
• 7 – < 7.7.10.1

Il CVE-2025-20363 interessa i prodotti ASA e FTD precedentemente elencati, oltre a tutte le release di Cisco IOS e Cisco IOS XE con VPN SSL Remote Access abilitata, e alle versioni 6.8 e 6.9 di Cisco IOS XR (32-bit su ASR 9001) con server HTTP attivo. Non sono invece interessati: Cisco NX-OS, IOS XR a 64 bit, IOS/IOS XE senza VPN SSL abilitata, ASA/FTD senza funzionalità WebVPN/SSL configurate.

Conclusione

La divulgazione coordinata dei CVE-2025-20333, CVE-2025-20362 e CVE-2025-20363 ha messo in atto una risposta di sicurezza a livello globale. Combinati, questi CVE possono portare alla completa compromissione dei dispositivi Cisco ASA e FTD, nonché dei sistemi che utilizzano Cisco IOS, IOS XE e IOS XR con configurazioni specifiche. È stata inoltre identificata una campagna di spionaggio denominata ArcaneDoor, attualmente in corso, che sfrutta CVE-2025-20333 e CVE-2025-20362 per colpire i dispositivi legacy ASA 5500-X.

Le agenzie di sicurezza, tra cui CISA e vari CERT nazionali, hanno pubblicato linee guida urgenti per la mitigazione, sottolineando la necessità di applicare immediatamente le patch, condurre indagini forensi e attivare i piani di risposta agli incidenti (IRP). Per supportare le organizzazioni in questa attività, Greenbone  ha reso disponibili controlli di rilevamento per tutte e tre le vulnerabilità nell’OPENVAS ENTERPRISE FEED, consentendo di individuare e correggere rapidamente le esposizioni critiche. Avvia  e scansiona il tuo ambiente IT per individuare questi e altri rischi per la sicurezza informatica.