CISA: agências federais falham em corrigir ASA/Firepower; ED 25‑03 impõe ação imediata | Riscos e Ameaças

A CISA identificou falhas no patching de dispositivos Cisco ASA e Firepower em agências federais, listando CVE‑2025‑20333 (RCE) e CVE‑2025‑20362 (escalonamento). ED 25‑03 exige correção em 48 horas e procedimentos adicionais para equipamentos públicos.

A CISA emitiu um alerta crítico apontando deficiências no patching de dispositivos Cisco ASA e Firepower em agências federais, citando exploração ativa e exigindo correção dentro dos prazos do Emergency Directive 25‑03.

Descoberta e escopo

Em análise de relatórios de conformidade, a CISA identificou que várias agências do Federal Civilian Executive Branch (FCEB) não aplicaram corretamente atualizações que protegem contra vulnerabilidades ativamente exploradas. O alerta cita explicitamente duas falhas graves: CVE‑2025‑20333 (remote code execution) e CVE‑2025‑20362 (privilege escalation).

Versões afetadas e requisitos mínimos

As fontes indicam que linhas de software afetadas incluem ASA nas séries 9.12 até 9.22 e Firepower nas séries 7.0 até 7.6, cada uma com versões mínimas exigidas para remediação. Para ASA, as versões mínimas listadas são:

9.12.4.72
9.14.4.28
9.16.4.85
9.18.4.67
9.20.4.10
9.22.2.14

As séries 9.17 e 9.19 requerem migração para releases suportados. Para Firepower, as versões mínimas citadas são 7.0.8.1, 7.2.10.2, 7.4.2.4 ou 7.6.2.1, dependendo do release train.

Procedimentos exigidos e prazos

O Emergency Directive 25‑03 determina implantação de correções no prazo de 48 horas após o release exigido e impõe procedimentos adicionais para ativos públicos. Agências com ASA expostos ao público devem executar os procedimentos de Core Dump and Hunt e submeter achados via o portal Malware Next Gen antes de aplicar patches, conforme orientação citada nas matérias.

Problemas constatados

Um ponto relevante destacado pela CISA é que alguns dispositivos constavam como “patchados” nos relatórios oficiais, mas, na verificação, estavam rodando versões desatualizadas e permaneciam vulneráveis. Essa discrepância pode indicar mal‑entendidos sobre requisitos de patching, atualizações incompletas ou erros no inventário de software.

Impacto operacional e risco

As duas CVEs listadas têm impactos distintos: CVE‑2025‑20333 permite execução remota de código sem autenticação; CVE‑2025‑20362 possibilita escalonamento de privilégios para atacantes autenticados. Juntas, representam risco inaceitável para sistemas federais, motivando ações de conformidade forçada por parte da CISA.

Limites das informações

As reportagens descrevem exigências, versões mínimas e a detecção de exploração ativa em relatórios de conformidade, mas não publicam detalhes técnicos dos exploits, IOCs ou evidências forenses individuais. Tampouco há divulgação pública de uma lista nominativa de agências afetadas — a abordagem citada prevê contato direto da CISA com entidades não conformes.

Próximos passos e recomendações práticas

Verificar inventário de ASA/Firepower e mapear versões instaladas vs. versões mínimas exigidas;
Aplicar patches ou migrar releases conforme as versões mínimas listadas pelo guia;
Se houver equipamentos públicos, executar Core Dump and Hunt e submeter resultados ao portal mencionado;
Resubmeter relatórios de conformidade ED 25‑03 via CyberScope quando solicitados;
Comunicar stakeholders e manter registro das ações corretivas para auditoria e eventual contato com a CISA.

Em suma: o alerta da CISA amplia a pressão sobre agências federais para corrigir de forma completa e tempestiva ASA e Firepower afetados por CVE‑2025‑20333 e CVE‑2025‑20362. A exigência de patch em 48 horas e os procedimentos adicionais para equipamentos públicos tornam a resposta operacional e a precisão do inventário elementos críticos.