Evolução Contínua de Mecanismo de Persistência Contra Cisco Secure Firewall Adaptive Security Appliance e Secure Firewall Threat Defense

Segurança e Cibersegurança: Novas Ameaças – No dia 23 de abril de 2026, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) publicou uma atualização crítica à Diretiva de Emergência (ED) 25-03, que trata da identificação e mitigação de comprometimentos potenciais em dispositivos Cisco.

Contexto Atual

A atualização aponta que o grupo de ameaças avançadas ArcaneDoor desenvolveu um mecanismo de persistência sofisticado, capaz de sobreviver a atualizações de firmware lançadas em setembro de 2025. Esse mecanismo está ancorado no Cisco Firepower eXtensible Operating System (FXOS), camada fundamental para as instalações de software do Cisco Secure Firewall Adaptive Security Appliance (ASA) e do Cisco Secure Firewall Threat Defense (FTD) nas plataformas de hardware vulneráveis.

Análise Técnica das Vulnerabilidades Exploratórias

De acordo com a inteligência recebida pelo Cisco PSIRT, a cadeia de ataque inicia-se com a exploração de duas vulnerabilidades críticas:

• CVE-2025-20333 – Execução Remota de Código (RCE) no servidor de navegação da firewall Cisco Secure Threat Defense.
• CVE-2025-20362 – Acesso Não Autorizado ao servidor de navegação da mesma solução.

Ambas as vulnerabilidades permitem que um invasor obtenha privilégios de administrador e, subsequentemente, implante o backdoor persistente no FXOS, garantindo controle mesmo após a aplicação das correções oficiais.

Contexto Histórico

O Cisco Secure Firewall ASA tem sido um dos pilares de segurança perimetral desde sua primeira versão, em 2005, quando substituiu o clássico PIX. Ao longo dos anos, a Cisco introduziu o Firepower Threat Defense (FTD) como resposta à crescente necessidade de inspeção profunda de pacotes (DPI) e integração com serviços de inteligência de ameaças.

Historicamente, a plataforma já enfrentou episódios críticos, como a vulnerabilidade CVE-2020-0605, que permitia bypass de políticas de acesso, e o CVE-2022-2079, explorado por grupos patrocinados por estados-nação. Cada incidente impulsionou melhorias no ciclo de vida de patches e na arquitetura de confiança do FXOS.

O surgimento do mecanismo de persistência da ArcaneDoor representa, portanto, uma evolução das táticas de APTs: ao almejar o firmware subjacente, o atacante contorna a camada de mitigação tradicional baseada apenas em atualizações de software de aplicação.

Desdobramentos Futuros e Recomendações

Especialistas preveem que a descoberta desse mecanismo pode levar a uma revisão completa das políticas de atualização de firmware em ambientes críticos. Organizações devem considerar:

• Implementação de verificações de integridade de firmware antes e depois de cada patch.
• Uso de assinaturas digitais e boot seguro para validar a cadeia de confiança do FXOS.
• Monitoramento contínuo de indicadores de comprometimento (IOCs) específicos da ArcaneDoor, divulgados em feeds de inteligência compartilhada.

Além disso, recomenda-se a revisão de políticas de segmentação de rede, garantindo que o tráfego de gerenciamento da firewall seja estritamente controlado e monitorado, reduzindo a superfície de ataque para os vetores iniciais das CVEs citadas.

Conclusão

A atualização da CISA evidencia a necessidade de uma postura de defesa em profundidade, onde a simples aplicação de patches não é suficiente para eliminar ameaças persistentes. A integração de práticas de hardening de firmware, monitoramento avançado e colaboração entre fabricantes e agências de segurança será decisiva para mitigar riscos associados a mecanismos de persistência como o desenvolvido pela ArcaneDoor.

Para detalhes completos sobre as versões corrigidas lançadas em setembro de 2025, consulte a resposta de evento da Cisco: Ataques Contínuos.