Hack Alerta

CISA: agências federais não aplicaram patches completos em ASA/Firepower — ED 25-03

Por Redação Hack Alerta Publicado em 13/11/2025 06:02 Riscos e Ameaças Tempo de leitura: 3 min

Emergency Directive 25‑03 da CISA ressalta que agências federais não aplicaram patches completos em dispositivos Cisco ASA e Firepower contra CVE-2025-20333 e CVE-2025-20362; diretiva exige atualização para versões mínimas em 48 horas e procedimentos de Core Dump/Hunt quando aplicável.

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu uma diretiva de emergência que destaca falhas de conformidade de agências federais na aplicação de correções para vulnerabilidades ativamente exploradas em dispositivos Cisco ASA e Firepower, enumerando CVE-2025-20333 e CVE-2025-20362 como riscos inaceitáveis.

Descoberta e evidências

De acordo com os relatórios levantados, a análise de conformidade identificou instâncias em que dispositivos foram marcados como “patcheados” em templates oficiais, mas permaneciam executando versões vulneráveis. A discrepância sugere interpretações incorretas de requisitos ou updates incompletos durante o processo de remediação.

Vulnerabilidades e versões afetadas

As duas vulnerabilidades citadas pela CISA são:

  • CVE-2025-20333 — Remote Code Execution;
  • CVE-2025-20362 — Privilege Escalation.

A CISA listou as linhas de software vulneráveis e versões mínimas requeridas. Para ASA, as versões mínimas exigidas são: 9.12.4.72, 9.14.4.28, 9.16.4.85, 9.18.4.67, 9.20.4.10 e 9.22.2.14; as famílias 9.17 e 9.19 requerem migração para releases suportadas. Para Firepower, as versões mínimas são 7.0.8.1, 7.2.10.2, 7.4.2.4 ou 7.6.2.1 conforme a trilha.

Exigências da diretiva

Emergency Directive 25‑03 obriga a implantação dos patches mínimos em até 48 horas. Além disso, agências com dispositivos públicos precisam executar os procedimentos de Core Dump e Hunt e enviar achados via o portal Malware Next Gen antes de aplicar patch. Relatórios de conformidade incompletos devem ser reenviados via CyberScope; a CISA informou que entrará em contato direto com agências não conformes para correção imediata.

Impacto e recomendações

A inclusão de RCE e escalonamento de privilégios em dispositivos de borda torna a falta de patch um risco crítico para a integridade e disponibilidade de sistemas federais. A diretiva reforça que todas as instâncias — não apenas as acessíveis publicamente — devem estar nas versões mínimas requeridas.

Recomendações operacionais incluem: inventariar versões ASA/Firepower em toda a organização, priorizar atualização para as versões mínimas listadas, executar procedimentos de caça a intrusão quando aplicável e validar os resultados de patch via relatórios formais.

Limitações e próximos passos

As matérias indicam que a CISA baseou a diretiva em evidências de exploração ativa, mas não fornecem contagens públicas de incidentes individuais. A ação demonstra, porém, uma postura mais assertiva de fiscalização, com prazos curtos e exigência de evidências, o que deve pressionar gestores a revisar processos de patch management em ambientes críticos.

Baseado em publicação original de Cyber Security News
Tags: #cisa #cisco #asa #firepower #ed-25-03 #patch-management #cve-2025-20333 #cve-2025-20362 #compliance
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar