CISA ha emitido una Directiva de Emergencia para mitigar de inmediato tres vulnerabilidades zero-day críticas explotadas activamente en dispositivos Cisco ASA, Firepower y algunas plataformas IOS/IOS XE/IOS XR. Estas vulnerabilidades permiten ejecución remota de código sin autenticación y escalada de privilegios, incluyendo la modificación persistente de la memoria de solo lectura (ROM), lo que representa un riesgo crítico para la confidencialidad, integridad y disponibilidad de sistemas federales.
CVE y severidad
| CVE | Título | CVSS 3.1 | Severidad |
|---|---|---|---|
| CVE-2025-20333 | Ejecución remota de código en Cisco ASA (Zero-Day) | 9.8 | Crítica |
| CVE-2025-20362 | Escalada de privilegios en Cisco ASA (Zero-Day) | 7.2 | Alta |
| CVE-2025-20363 | Desbordamiento de buffer en web service (Heap-based, Zero-Day) en Cisco ASA, FTD, IOS, IOS XE y IOS XR | 9.8 | Crítica |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Cisco | Adaptive Security Appliance (ASA) | Hardware, ASA-Service Module (ASA-SM), ASA Virtual (ASAv) | Modelos soportados hasta agosto 2026 | Dispositivos ASA físicos y virtuales |
| Cisco | Firepower Threat Defense (FTD) | Firmware en Firepower 2100/4100/9300 Series | Modelos soportados hasta septiembre 2025 | Aparatos Firepower FTD |
| Cisco | IOS / IOS XE / IOS XR | Software de red | Verificación mediante comandos de configuración SSL VPN y Cisco Software Checker | Routers y dispositivos Cisco afectados por SSL VPN o MUS |
Solución
Aplicar las actualizaciones proporcionadas por Cisco para hardware ASA soportado hasta agosto de 2026 y para ASAv, Firepower FTD y versiones afectadas de IOS, IOS XE e IOS XR antes del 26 de septiembre de 2025.
Recomendaciones
Priorizar la aplicación inmediata de los parches indicados por Cisco y realizar los procedimientos de análisis de memoria y verificación de configuraciones recomendados por CISA para detectar compromisos; desconectar equipos con fin de soporte antes del 30 de septiembre de 2025 y reportar el estado a CISA antes del 2 de octubre de 2025.
Referencias
- CISA advierte sobre vulnerabilidades zero-day en firewalls Cisco – Cyber Security News
- NVD – CVE-2025-20333
- MITRE – CVE-2025-20333
- NVD – CVE-2025-20362
- MITRE – CVE-2025-20362
- NVD – CVE-2025-20363
- CISA Alert AA25-246A sobre vulnerabilidades zero-day en Cisco ASA y Firepower (CISA.gov)
- Dark Reading: Cisco patches zero-day in Firepower and ASA devices