Amerykańska agencja CISA wydała pilną dyrektywę nakazującą agencjom federalnym natychmiastowe łatanie firewalli Cisco. To reakcja na szeroko zakrojoną kampanię hakerską, która skompromitowała setki urządzeń.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała dyrektywę alarmową (Emergency Directive 25-03), nakazującą wszystkim federalnym agencjom cywilnym podjęcie natychmiastowych działań w odpowiedzi na “szeroko zakrojoną” kampanię hakerską. Celem ataku są setki urządzeń sieciowych firmy Cisco – w szczególności firewalle z serii Adaptive Security Appliance (ASA) oraz Firepower Threat Defense (FTD) – używane do ochrony rządowych sieci. Za kampanią stoi “zaawansowany aktor państwowy”, którego działania powiązano z grupą hakerską znaną jako ArcaneDoor (lub UAT4356), podejrzewaną przez niektórych badaczy o powiązania z Chinami. Atak jest na tyle poważny, iż CISA, we współpracy z brytyjskim National Cyber Security Centre (NCSC), prowadzi intensywne śledztwo, aby zrozumieć pełną skalę kompromitacji, która dotknęła już wiele amerykańskich agencji rządowych.
Tym, co czyni atak szczególnie niebezpiecznym, jest wyrafinowana technika napastników. Wykorzystują oni co najmniej dwie nieznane wcześniej luki typu zero-day: CVE-2025-20333 (krytyczna, umożliwiająca zdalne wykonanie kodu) oraz CVE-2025-20362 (pozwalająca na eskalację uprawnień). Jednak największy niepokój budzi zdolność hakerów do manipulowania oprogramowaniem układowym w pamięci ROM (read-only memory) urządzeń. Pozwala to na zainstalowanie złośliwego oprogramowania, które jest odporne na restarty i aktualizacje systemu, zapewniając atakującym trwały, ukryty dostęp do skompromitowanej sieci. Cisco potwierdziło, iż pierwsze ślady tej aktywności sięgają co najmniej maja 2024 roku, kiedy to agencje rządowe po raz pierwszy zwróciły się do firmy o pomoc w zbadaniu incydentów.
W odpowiedzi na zagrożenie, dyrektywa CISA nałożyła na agencje federalne bardzo krótkie terminy. Zostały one zobowiązane do natychmiastowego zidentyfikowania wszystkich podatnych urządzeń Cisco, zebrania i przesłania danych forensic do analizy przez CISA, a także odłączenia od sieci wszystkich urządzeń, dla których wsparcie techniczne kończy się 30 września 2025 roku. Pozostałe, wspierane modele musiały zostać zaktualizowane do najnowszej wersji oprogramowania. Tak zdecydowane kroki podkreślają powagę sytuacji i ryzyko, jakie stwarza stała obecność zaawansowanego przeciwnika w kluczowych elementach infrastruktury sieciowej rządu USA.
