Control total en solo 5 minutos: un VPN se convirtió en la principal puerta de acceso a 50.000 dispositivos en todo el mundo
Cisco pide buscar con urgencia indicios de intrusión, aunque ya se hayan aplicado las actualizaciones.
Más de 48.000 cortafuegos Cisco ASA y Firepower Threat Defense siguen vulnerables frente a dos vulnerabilidades críticas que ya están siendo explotadas activamente por atacantes. Las vulnerabilidades están identificadas como CVE-2025-20333 y CVE-2025-20362. Permiten ejecutar código arbitrario y acceder a endpoints URL restringidos relacionados con el acceso VPN. La explotación es remota y no requiere autenticación.
El 25 de septiembre, Cisco informó que los ataques comenzaron antes de la publicación de los parches. No existen soluciones alternativas para mitigar el riesgo; las únicas medidas temporales posibles son restringir la disponibilidad de la interfaz web VPN y aumentar la supervisión de intentos de autenticación sospechosos y de solicitudes HTTP especialmente confeccionadas.
Según un escaneo de la Shadowserver Foundation del 29 de septiembre, en la red permanecen casi 49.000 dispositivos vulnerables. La mayor cantidad de instancias está en Estados Unidos — más de 19.000. Le siguen Reino Unido (2.800), Japón (2.300), Alemania (2.200), Rusia (2.100), Canadá (1.500) y Dinamarca (1.200). Estas cifras indican que una parte significativa de los administradores aún no ha reaccionado a las advertencias y a los ataques en curso.
Los datos de GreyNoise mostraron que los ataques se prepararon con antelación: el 4 de septiembre registraron escaneos sospechosos de Cisco ASA que habían comenzado a finales de agosto. En el 80 % de los casos, este tipo de actividad indica la preparación para explotar nuevas vulnerabilidades.
La gravedad de la situación fue confirmada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). Emitió una orden de emergencia que exige revisar en 24 horas todos los Cisco ASA y FTD en las agencias federales y actualizar los dispositivos que se vayan a mantener en servicio. Los equipos cuyo ciclo de vida llegó a su fin deben desconectarse de las redes gubernamentales antes de finales de septiembre.
También proporcionó su análisis el Centro Nacional de Seguridad Cibernética del Reino Unido. Según sus datos, los atacantes cargan en los dispositivos comprometidos un cargador de shellcode llamado Line Viper y luego implantan un bootkit llamado RayInitiator que se ejecuta mediante GRUB. Esto indica un alto grado de preparación de los atacantes y consecuencias graves para las redes administradas.
Dado que la explotación de CVE-2025-20333 y CVE-2025-20362 continúa desde hace más de una semana, Cisco recomienda a los administradores que instalen urgentemente los parches y que inspeccionen la infraestructura en busca de indicios de compromiso.
¿Estás cansado de que Internet sepa todo sobre ti?