Update 10 november: De kwetsbaarheden die hieronder worden genoemd, worden actief gebruikt voor Denial-of-Service-aanvallen. Normaal gesproken kunnen firewalls de impact hiervan beperken door traffic filtering en connection limiting. Echter, de kwetsbaarheden CVE-2025-20354 en CVE-2025-20358 kunnen verschillende beveiligingslagen van de firewalls omzeilen.

Oorspronkelijk bericht, 7 november: Cisco meldt dat zijn firewallproducten onder voortdurende aanvallen liggen. De kwetsbaarheid kan apparaten laten herstarten en netwerken verstoren. Het bedrijf adviseert klanten dringend hun systemen te updaten naar de nieuwste beveiligingsversies om verdere schade te voorkomen. Cisco waarschuwt voor een nieuwe variant van de aanvallen die sinds mei 2025 gericht zijn op zijn firewallproducten. Deze variant zorgt ervoor dat apparaten zonder de nieuwste softwareversies continu opnieuw opstarten, wat leidt tot netwerkuitval. Cisco’s firewalls zijn al zes maanden doelwit van voortdurende misbruikpogingen. De aanval richt zich op apparaten met Cisco Secure ASA- en Secure FTD-software die kwetsbaar zijn voor de beveiligingslekken CVE-2025-20333 en CVE-2025-20362. Cisco bracht in september patches uit om deze fouten te verhelpen, maar de exploitatie gaat door. De aanvallen maken deel uit van een bredere campagne. Aanvallers gebruiken al langere tijd meerdere zero-daylekken in Cisco-producten. The Register meldt dat het Britse National Cyber Security Centre en de Amerikaanse Cybersecurity and Infrastructure Security Agency betrokken zijn bij deze dreiging. Zij hebben vastgesteld dat de kwetsbaarheden worden misbruikt door een geavanceerde dreigingsgroep. Minstens één Amerikaanse overheidsinstantie is getroffen. Cisco bevestigt dat het sinds mei samenwerkt met meerdere overheidsinstanties die incidentresponsdiensten leveren, maar noemt geen namen of slachtoffers. Volgens The Register koppelt Cisco de nieuwe aanval aan dezelfde groep die verantwoordelijk was voor de ArcaneDoor-campagne uit 2024. Die operatie maakte gebruik van onbekende kwetsbaarheden in ASA- en FTD-firewalls om toegang te krijgen tot overheids- en telecomnetwerken. Cisco gaf die groep destijds de interne codenaam UAT4356. Het bedrijf wil deze dreiging niet aan een specifieke staat koppelen. Cisco’s analyse laat zien dat de aanvallers niet alleen zero-days gebruiken, maar ook technieken om detectie te vermijden. In eerdere incidenten werden logfuncties uitgeschakeld, commando’s onderschept en apparaten bewust gecrasht om sporen uit te wissen. In sommige gevallen pasten de indringers het ROM Monitor-programma van apparaten aan, zodat hun malware ook na herstarten actief bleef. The Register voegt toe dat Cisco naast de firewallproblemen ook twee kritieke kwetsbaarheden in de Unified Contact Center Express-software heeft verholpen. Deze fouten, aangeduid als CVE-2025-20354 en CVE-2025-20358, maken het mogelijk voor externe aanvallers om zonder authenticatie bestanden te uploaden of commando’s met rootrechten uit te voeren. Cisco zegt dat deze lekken nog niet actief worden uitgebuit, maar adviseert gebruikers om onmiddellijk te upgraden naar de versies 12.5 SU3 ES07 of 15.0 ES01. Cisco meldt dat klanten hun firewalls moeten bijwerken naar de vaste softwareversies om misbruik te voorkomen.