Actores patrocinados por estados están explotando activamente dispositivos Cisco Firepower, utilizando dos vulnerabilidades n-day para infiltrar sistemas FXOS. Los ataques se centran en las vulnerabilidades CVE-2025-20333 y CVE-2025-20362, empleando un backdoor personalizado llamado FIRESTARTER que permite el control remoto no autorizado sobre redes comprometidas, afectando los procesos centrales de los dispositivos ASA y FTD.
CVE y severidad
| CVE | Descripción breve | Estado de explotación |
|---|---|---|
| CVE-2025-20333 | Vulnerabilidad n-day que permite escalada de acceso en FXOS. | Explotada activamente en campañas reales. |
| CVE-2025-20362 | Vulnerabilidad n-day complementaria para control persistente en FXOS. | Explotada activamente en campañas reales. |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Cisco | Firepower ASA y Firepower Threat Defense (FTD) | Firepower Extensible Operating System (FXOS) y proceso LINA | No especificadas explícitamente; afecta dispositivos con FXOS afectados por CVE-2025-20333 y CVE-2025-20362. |
Solución
Actualizar e implementar los parches y recomendaciones críticas indicadas en el Aviso de Seguridad de Cisco y la Directiva de Emergencia CISA 25-03.
Recomendaciones
Se recomienda realizar una búsqueda activa de procesos y archivos maliciosos asociados a FIRESTARTER, así como el reflasheo completo de dispositivos comprometidos y reinicios duros para eliminar persistencias; además, desplegar las reglas Snort 65340, 46897 y 62949 para detectar explotación y actividad del backdoor.