Recenti notizie hanno sollevato un campanello d’allarme riguardo a una serie di attacchi informatici mirati. Questi attacchi sfruttano le vulnerabilità esistenti nei dispositivi della linea Cisco Adaptive Security Appliance (ASA). Le autorità britanniche e americane hanno esortato gli utenti a disconnettere e smaltire i dispositivi obsoleti e non più supportati. Tale comportamento cautelativo è stato motivato dalla scoperta di gravi difetti di sicurezza che potrebbero compromettere la protezione delle reti aziendali.
Panoramica sui dispositivi Cisco ASA
La famiglia di prodotti Cisco ASA, introdotta all’inizio degli anni 2000, ha integrato diverse funzionalità di sicurezza in un’unica piattaforma. Questa soluzione ha sostituito le precedenti offerte di firewall, intrusion prevention e virtual private networking. Attualmente, i dispositivi Cisco ASA sono ampiamente adottati, in particolare dalle piccole e medie imprese (PMI), per garantire la sicurezza delle loro infrastrutture.
Vulnerabilità e rischi associati
Le autorità hanno evidenziato tre vulnerabilità significative all’interno dei dispositivi Cisco ASA. Le prime due, identificate come CVE-2025-20333 e CVE-2025-20362, consentono rispettivamente l’esecuzione di codice da remoto e l’elevazione dei privilegi. Una terza vulnerabilità, CVE-2025-20363, permette anch’essa l’esecuzione di codice arbitrario, ma non è stata inclusa nel presente avviso di emergenza.
Raccomandazioni delle autorità
Il National Cyber Security Centre (NCSC) del Regno Unito ha esortato le organizzazioni a considerare con urgenza la sostituzione dei modelli ASA non più supportati, in particolare quelli la cui data di fine supporto è prevista nei prossimi dodici mesi. Secondo il NCSC, l’uso di hardware obsoleto comporta notevoli rischi per la sicurezza.
Ollie Whitehouse, CTO del NCSC, ha affermato: “È fondamentale per le aziende seguire le indicazioni fornite, in particolare per quanto riguarda la rilevazione e la remediazione delle vulnerabilità. Incoraggiamo fortemente i difensori della rete a seguire le migliori pratiche del fornitore e a consultare il rapporto di analisi malware del NCSC per supportare le loro indagini.”
Direttive urgenti degli Stati Uniti
Negli Stati Uniti, la Cybersecurity and Infrastructure Security Agency (CISA) ha emesso una direttiva di emergenza in risposta a questa situazione. È stato richiesto a tutte le agenzie governative di verificare e aggiornare i loro dispositivi Cisco ASA e Cisco Firepower, anch’essi vulnerabili. La CISA ha avvertito che i dispositivi ASA con una data di fine supporto fissata entro il 30 settembre 2025 devono essere disconnessi permanentemente.
Attività di attacco e attori coinvolti
Secondo Cisco, queste vulnerabilità sono attualmente sfruttate da un attore malevolo noto per la campagna ArcaneDoor, emersa per la prima volta nell’aprile 2024. Si sospetta che questo gruppo sia sostenuto da uno stato nazionale e che l’attività di attacco sia iniziata diversi mesi prima della sua scoperta ufficiale.
Il team di intelligence sulle minacce di Cisco, Talos, ha rintracciato infrastrutture controllate dagli aggressori risalenti a novembre 2023, con attività preliminari già avvenute nel luglio dello stesso anno. Cisco ha collaborato con numerosi clienti colpiti, incluse agenzie governative, per indagare su questa serie di attacchi complessi e sofisticati.
Malware utilizzati e modalità di attacco
Le indagini hanno rivelato che gli attacchi sono associati a due tipologie di malware, Line Dancer e Line Runner. Questi strumenti operano in sinergia, permettendo agli aggressori di raggiungere i loro obiettivi sui dispositivi ASA. Tale situazione rappresenta un ulteriore motivo di preoccupazione per le organizzazioni che si avvalgono di tecnologie obsolete.
