Negli ultimi tempi, un’intensa campagna di cyber attacchi ha messo in evidenza le vulnerabilità dei dispositivi Cisco Adaptive Security Appliance (ASA). Questo ha spinto le autorità di sicurezza informatica britanniche e statunitensi a lanciare un avvertimento, esortando gli utenti a disattivare e smaltire le apparecchiature obsolete che non ricevono più supporto tecnico.
I dispositivi Cisco ASA, introdotti negli anni 2000, hanno sostituito vari strumenti di sicurezza offerti da Cisco in forma autonoma. Questi apparecchi multifunzionali, che comprendono firewall, sistemi di prevenzione delle intrusioni e reti private virtuali, continuano a essere utilizzati, in particolare da piccole e medie imprese (PMI).
Vulnerabilità critiche nei dispositivi Cisco ASA
Le preoccupazioni attuali derivano da tre vulnerabilità specifiche, tra cui la CVE-2025-20333, che consente l’esecuzione di codice da remoto (RCE), e la CVE-2025-20362, che permette l’elevazione dei privilegi (EoP).
Una terza vulnerabilità, CVE-2025-20363, è stata individuata ma non rientra nell’ambito dell’allerta attuale.
Modelli interessati
Cisco ha comunicato che le problematiche riguardano i modelli della serie 5500-X, in particolare i modelli 5512-X, 5515-X, 5525-X, 5545-X, 5555-X e 5585-X, tutti funzionanti con le versioni software Cisco ASA 9.12 o 9.14, e con i servizi web VPN attivati. È importante notare che alcuni di questi modelli hanno raggiunto lo stato di fine vita già nel 2017, mentre i modelli 5512-X e 5515-X non ricevono più supporto dal 2022.
Raccomandazioni dalle autorità
Il National Cyber Security Centre (NCSC) ha fortemente raccomandato che, ove possibile, i modelli ASA che stanno per entrare in fase di obsolescenza nei prossimi dodici mesi vengano sostituiti.
L’organizzazione ha sottolineato i rischi significativi che l’hardware obsoleto può comportare.
Importanza della sicurezza informatica
Ollie Whitehouse, Chief Technology Officer del NCSC, ha affermato: “È fondamentale che le organizzazioni prestino attenzione alle azioni raccomandate, in particolare per quanto riguarda la rilevazione e la remediazione delle vulnerabilità.” Ha inoltre esortato le difese di rete a seguire le migliori pratiche fornite dai fornitori e a collaborare con il rapporto di analisi malware del NCSC per supportare le loro indagini.
Azioni urgenti da parte delle autorità statunitensi
In un’istruzione d’emergenza emessa prima del weekend del 27-28 settembre, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ordinato a tutti gli utenti all’interno del governo americano di effettuare un conteggio e un aggiornamento dei dispositivi Cisco ASA e dei dispositivi Cisco Firepower, anch’essi colpiti dalle vulnerabilità.
CISA ha confermato il monito del NCSC, specificando che i modelli di hardware ASA con una data di fine supporto prevista per il 30 settembre 2025 o anteriore devono essere disconnessi permanentemente. “Queste piattaforme legacy non sono in grado di soddisfare i requisiti di supporto e aggiornamento attuali”, ha affermato CISA.
Il legame con la campagna ArcaneDoor
Secondo Cisco, le recenti vulnerabilità sono state sfruttate dal gruppo di minaccia associato alla campagna ArcaneDoor, emersa per la prima volta nell’aprile 2024 e ritenuta opera di attori supportati da uno stato nazione. Questa attività sarebbe iniziata alcuni mesi prima, con l’unità di intelligence sulle minacce Talos di Cisco che ha identificato infrastrutture controllate dagli aggressori già attive nel novembre 2023.
Cisco ha collaborato con diversi clienti colpiti, incluse agenzie governative, per indagare su questa serie di attacchi. L’azienda ha definito queste incursioni come complesse e sofisticate, sottolineando che i minacciatori continuano a cercare obiettivi di interesse.
Malware coinvolti
I dispositivi Cisco ASA, introdotti negli anni 2000, hanno sostituito vari strumenti di sicurezza offerti da Cisco in forma autonoma. Questi apparecchi multifunzionali, che comprendono firewall, sistemi di prevenzione delle intrusioni e reti private virtuali, continuano a essere utilizzati, in particolare da piccole e medie imprese (PMI).0
