A Cisco emitiu um alerta sobre a exploração ativa de uma vulnerabilidade descoberta há uma década, que afeta o Adaptive Security Appliance (ASA). A falha, identificada como CVE-2014-2120, possui um escore CVSS de 4,3 e refere-se a uma validação insuficiente de entrada na página de login do WebVPN do ASA. Essa vulnerabilidade permite que um invasor remoto e não autenticado conduza ataques de cross-site scripting (XSS) contra usuários do appliance.

De acordo com a Cisco, a exploração pode ocorrer caso o invasor consiga convencer um usuário a acessar um link malicioso. O alerta inicial foi emitido pela empresa em março de 2014, mas, em 2 de dezembro de 2024, a Cisco revisou o comunicado, destacando que identificou “novas tentativas de exploração” da vulnerabilidade em ambientes reais. Segundo a análise, agentes mal-intencionados, associados ao grupo AndroxGh0st, estão explorando uma ampla lista de vulnerabilidades em aplicativos expostos à internet, incluindo a CVE-2014-2120, para disseminar malware.

Entre as ferramentas utilizadas está o botnet Mozi, que contribui para a ampliação e o fortalecimento da infraestrutura maliciosa. Em resposta a essa situação, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou a falha ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). A CISA determinou que agências do setor federal devem corrigir a vulnerabilidade até 3 de dezembro de 2024. Para proteger-se contra ameaças potenciais, a Cisco recomenda fortemente que os usuários do ASA mantenham seus sistemas atualizados.