Cisco advierte sobre un nuevo ataque a firewall que explota CVE-2025-20333 y CVE-2025-20362

Cisco reveló el miércoles que una nueva variante de ataque está dirigida a dispositivos que ejecutan versiones específicas del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y Threat Defense (FTD), vulnerables a CVE-2025-20333 y CVE-2025-20362. Según el aviso actualizado de Cisco, este nuevo ataque puede hacer que los dispositivos sin parchear se reinicien inesperadamente, causando condiciones de denegación de servicio (DoS), lo que significa interrupciones en los servicios de red para los usuarios. La empresa instó encarecidamente a los clientes a instalar las actualizaciones disponibles de inmediato para evitar cualquier interrupción del servicio.\n\nEstas dos vulnerabilidades se divulgaron inicialmente a finales de septiembre de 2025, pero ya habían sido explotadas como vulnerabilidades de día cero antes de hacerse públicas. El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) informó que estos exploits se usaron en ataques que entregaban malware como RayInitiator y LINE VIPER. CVE-2025-20333 es particularmente grave porque permite a los atacantes ejecutar código arbitrario con privilegios de root enviando solicitudes HTTP especialmente diseñadas, mientras que CVE-2025-20362 permite el acceso no autorizado a URLs restringidas sin autenticación.\n\nAdemás de las vulnerabilidades del firewall, Cisco abordó dos fallas críticas de seguridad encontradas en el software Unified Contact Center Express (Unified CCX). Estos problemas podrían permitir a atacantes remotos no autenticados subir archivos arbitrarios, evadir la autenticación, ejecutar comandos arbitrarios y escalar privilegios a root. El investigador de seguridad Jahmel Harris fue acreditado por descubrir y reportar estas vulnerabilidades. La primera, CVE-2025-20354 (puntuación CVSS 9.8), implica una debilidad en el proceso Java Remote Method Invocation (RMI), que permite a los atacantes subir y ejecutar archivos arbitrarios con acceso root. La segunda, CVE-2025-20358 (puntuación CVSS 9.4), afecta la aplicación CCX Editor y permite a los atacantes evadir la autenticación y obtener derechos de administrador para crear y ejecutar scripts en el sistema operativo subyacente.\n\nCisco ha parcheado estas fallas de Unified CCX en versiones específicas del software: la versión 12.5 SU3 (corregida en 12.5 SU3 ES07) y la versión 15.0 (corregida en 15.0 ES01). Además de estas, Cisco también corrigió una vulnerabilidad de denegación de servicio de alta gravedad (CVE-2025-20343, puntuación CVSS 8.6) en el Identity Services Engine (ISE). Esta falla se debe a un error lógico durante el procesamiento de solicitudes de acceso RADIUS que involucran direcciones MAC ya marcadas como rechazadas. Un atacante puede explotarla enviando múltiples mensajes RADIUS diseñados, causando que el dispositivo se reinicie inesperadamente.\n\nAunque no hay evidencia actual que indique que estas tres últimas fallas de seguridad hayan sido explotadas en el entorno real, Cisco enfatiza la importancia de aplicar los parches rápidamente para asegurar una protección óptima. La rápida acción en la liberación de correcciones destaca el compromiso de Cisco con la seguridad y la lucha continua contra las amenazas cibernéticas emergentes. Se recomienda encarecidamente a los usuarios y organizaciones que dependen de productos Cisco priorizar estas actualizaciones para mitigar riesgos derivados de estas vulnerabilidades significativas.