Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte.

Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate.

La cosa che preoccupa di più non è solo il controllo temporaneo del firewall, ma il fatto che negli attacchi osservati gli aggressori hanno installato malware progettato per restare nascosto e persistente. Autorità come la CISA e il NCSC britannico hanno segnalato che le backdoor osservate (soprannominate RayInitiator e LINE VIPER) consentono di mantenere l’accesso anche dopo riavvii e, in alcuni casi, possono sopravvivere a semplici aggiornamenti del software: questo complica moltissimo la rimozione dell’intrusione. Per questo motivo la CISA ha emesso un Emergency Directive chiedendo alle agenzie federali di cercare e mitigare subito eventuali compromissioni.

Chi c’è dietro? I report tecnici e i comunicati pubblici collegano questa campagna a un gruppo noto con vari nomi nelle comunità di ricerca (UAT4356 / Storm-1849), lo stesso collegato in passato alla campagna chiamata “ArcaneDoor”. Alcuni analisti e testate internazionali parlano di una possibile attribuzione a un attore con risorse significative, ma le attribuzioni pubbliche spesso restano prudenti: quel che è certo è che il modus operandi è sofisticato e mirato.

Quanto è grave per chi ha questi dispositivi? Molto dipende dalle singole reti, ma bisogna considerare che i firewall ASA sono spesso al confine della rete e gestiscono VPN e traffico critico: comprometterli significa avere una porta diretta per monitorare, deviare o esfiltrare dati, oltre che per muoversi lateralmente dentro l’infrastruttura. Il fatto che le vulnerabilità siano state sfruttate concretamente e che siano state osservate tecniche di persistenza rende il rischio alto per molte organizzazioni, specie per enti pubblici e infrastrutture critiche.

Cosa fare, pragmaticamente? Le indicazioni ufficiali sono semplici da capire: verificare se si possiedono dispositivi ASA o FTD nelle versioni affette, applicare le patch pubblicate da Cisco il prima possibile e seguire le mitigazioni temporanee consigliate se non è subito possibile aggiornare. Per chi gestisce reti con requisiti elevati di sicurezza, la CISA raccomanda inoltre controlli forensi e, in caso di compromissione confermata, procedure più profonde che possono arrivare fino alla rimozione fisica o alla sostituzione del dispositivo se la persistenza è presente. Anche isolare gli endpoint di management e limitare l’esposizione pubblica dei servizi di amministrazione aiuta a ridurre il rischio nel breve periodo. 

In chiusura, la cosa più utile che puoi fare oggi è controllare: guarda se hai dispositivi Cisco ASA/FTD esposti o non aggiornati, applica le patch ufficiali e segui le linee guida CISA/Cisco. Non è il momento di ignorare gli avvisi: la combinazione tra exploit non autenticati e malware persistente osservata in questi attacchi rende la situazione seria e meritevole di attenzione immediata.