Cisco meldt aanhoudende aanvallen op zijn firewallproducten. De kwetsbaarheid kan leiden tot herstartende apparaten en netwerkuitval. Het bedrijf adviseert klanten dringend hun systemen te updaten naar de meest recente beveiligingsversies om verdere schade te voorkomen.

Cisco waarschuwt voor een nieuwe variant van de aanvallen die sinds mei 2025 gericht zijn op zijn firewallproducten. Volgens het bedrijf zorgt deze variant ervoor dat apparaten die niet zijn bijgewerkt naar de meest recente softwareversies continu opnieuw opstarten, wat leidt tot uitval van netwerkbeveiliging. Cisco’s firewalls zijn al zes maanden doelwit van aanhoudende pogingen tot misbruik.

De aanval richt zich op apparaten met Cisco Secure ASA- en Secure FTD-software die kwetsbaar zijn voor de beveiligingslekken CVE-2025-20333 en CVE-2025-20362. Cisco bracht in september patches uit om deze fouten te verhelpen. De exploitatie blijkt echter door te gaan. De aanvallen maken deel uit van een bredere campagne. Aanvallers maken al langere tijd gebruik van meerdere zero-daylekken in Cisco-producten.

Geavanceerde dreigingsgroep

The Register schrijft dat het Britse National Cyber Security Centre en de Amerikaanse Cybersecurity and Infrastructure Security Agency bij deze dreiging betrokken zijn. Zij zouden hebben vastgesteld dat de kwetsbaarheden worden misbruikt door een geavanceerde dreigingsgroep. Minstens één Amerikaanse overheidsinstantie is getroffen. Cisco bevestigt in zijn eigen documentatie dat het sinds mei samenwerkt met meerdere overheidsinstanties die incidentresponsdiensten leveren, maar noemt geen namen of slachtoffers.

Volgens The Register koppelt Cisco de nieuwe aanval aan dezelfde groep die verantwoordelijk was voor de ArcaneDoor-campagne uit 2024. Die operatie maakte gebruik van onbekende kwetsbaarheden in ASA- en FTD-firewalls om toegang te krijgen tot overheids- en telecomnetwerken. Cisco gaf die groep destijds de interne codenaam UAT4356. Het bedrijf wil deze dreiging niet aan een specifieke staat koppelen.

Cisco’s eigen analyse laat zien dat de aanvallers niet alleen gebruikmaken van zero-days, maar ook van technieken om detectie te vermijden. Zo werden in eerdere incidenten logfuncties uitgeschakeld, commando’s onderschept en apparaten bewust laten crashen om sporen uit te wissen. In sommige gevallen pasten de indringers het ROM Monitor-programma van apparaten aan, zodat hun malware ook na herstarten actief bleef.

The Register voegt toe dat Cisco naast de firewallproblemen ook twee kritieke kwetsbaarheden in de Unified Contact Center Express-software heeft verholpen. Deze fouten, aangeduid als CVE-2025-20354 en CVE-2025-20358, maken het mogelijk voor externe aanvallers om zonder authenticatie bestanden te uploaden of commando’s met rootrechten uit te voeren. Cisco zegt dat deze lekken nog niet actief worden uitgebuit, maar adviseert gebruikers om onmiddellijk te upgraden naar de versies 12.5 SU3 ES07 of 15.0 ES01.

Cisco meldt dat klanten hun firewalls moeten bijwerken naar de vaste softwareversies om misbruik te voorkomen.