Cisco-firewalls onder vuur: dringend patchen noodzakelijk om netwerkuitval te voorkomen

Cisco waarschuwt voor een reeks aanhoudende en geavanceerde cyberaanvallen op zijn firewallproducten. Het bedrijf meldt dat meerdere kwetsbaarheden actief worden uitgebuit door een ervaren dreigingsgroep die zich richt op organisaties wereldwijd. Volgens Cisco kunnen niet-gepatchte apparaten herhaaldelijk herstarten, wat resulteert in ernstige netwerkonderbrekingen en het tijdelijk wegvallen van beveiligingsfunctionaliteit.

Aanhoudende aanvallen sinds mei 2025

De nieuwe golf aanvallen vormt een voortzetting van de campagne die in mei 2025 begon en zich richt op Cisco’s Secure Adaptive Security Appliance (ASA) en Secure Firepower Threat Defense (FTD)-software. Deze aanvalsgolf misbruikt de kwetsbaarheden CVE-2025-20333 en CVE-2025-20362, die in september al door Cisco werden gepatcht. Desondanks blijven ongepatchte systemen doelwit. Apparaten die de updates niet hebben ontvangen, lopen risico op voortdurende herstarts, verlies van netwerkconnectiviteit en een tijdelijke uitschakeling van beveiligingsdiensten.

Cisco benadrukt dat de aanvallers zich specifiek richten op organisaties die nog oudere softwareversies gebruiken. Het bedrijf roept klanten met klem op om onmiddellijk te upgraden naar de meest recente beveiligingsreleases en de automatische updatefunctie te activeren om verdere schade te voorkomen.

Samenwerking met internationale overheidsinstanties

Cisco werkt nauw samen met internationale veiligheidsdiensten, waaronder het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk en de Cybersecurity and Infrastructure Security Agency (CISA) in de Verenigde Staten. Deze organisaties hebben vastgesteld dat de kwetsbaarheden actief worden misbruikt door een geavanceerde dreigingsgroep die vermoedelijk over aanzienlijke technische middelen beschikt. Minstens één Amerikaanse overheidsinstantie zou volgens de onderzoeken zijn getroffen, hoewel Cisco geen namen of details van slachtoffers bevestigt.

Verband met eerdere campagnes

De fabrikant vermoedt dat de huidige aanval voortkomt uit dezelfde infrastructuur en werkwijze als de ArcaneDoor-campagne uit 2024. Die operatie, uitgevoerd door een groep die Cisco intern aanduidt als UAT4356, maakte toen gebruik van onbekende kwetsbaarheden in ASA- en FTD-firewalls om langdurige toegang te krijgen tot overheids-, defensie- en telecomnetwerken. Ook nu wijzen forensische sporen op dezelfde groep, hoewel Cisco zich onthoudt van attributie aan een specifieke staat of actor.

Geavanceerde aanvalstechnieken

Uit interne analyses blijkt dat de aanvallers niet alleen gebruikmaken van zero-daykwetsbaarheden, maar ook van verfijnde methoden om detectie te vermijden en hun aanwezigheid te verbergen. Eerdere incidenten tonen aan dat zij:

• logfuncties uitschakelden om sporen te wissen;
• netwerkcommando’s onderschepten om systeemactiviteit te manipuleren;
• apparaten doelbewust lieten crashen om forensische sporen te verwijderen;
• en in sommige gevallen het ROM Monitor (ROMMON)-programma aanpasten, waardoor schadelijke code na een herstart actief bleef.

Deze technieken maken het bijzonder moeilijk om besmette systemen volledig te reinigen zonder een volledige herinstallatie of hardwarevervanging.

Extra kwetsbaarheden in andere Cisco-producten

Naast de problemen met de firewallproducten heeft Cisco ook twee kritieke kwetsbaarheden gedicht in de Unified Contact Center Express (UCCX)-software. De beveiligingslekken, aangeduid als CVE-2025-20354 en CVE-2025-20358, stellen kwaadwillenden in staat om zonder authenticatie bestanden te uploaden of commando’s met rootrechten uit te voeren. Hoewel Cisco aangeeft dat deze lekken nog niet actief worden uitgebuit, adviseert het bedrijf klanten met klem om onmiddellijk te upgraden naar de versies 12.5 SU3 ES07 of 15.0 ES01.

Advies aan gebruikers en beheerders

Cisco benadrukt het belang van:

1. Onmiddellijke installatie van beveiligingsupdates voor ASA- en FTD-apparaten;
2. Controle van configuraties om te bevestigen dat logfuncties actief zijn en niet gemanipuleerd werden;
3. Netwerkmonitoring voor afwijkend gedrag zoals herhaalde herstarts of onverklaarbare verbindingsonderbrekingen;
4. Verificatie van firmware-integriteit via cryptografische checksums;
5. Isolatie van getroffen systemen totdat een grondige forensische analyse heeft plaatsgevonden.

Cisco belooft de situatie nauwlettend te blijven volgen en nieuwe indicatoren van compromittering (IoC’s) publiek te maken zodra deze beschikbaar zijn.

Door: Drifter