Dubbele Cisco Zero-Days actief misbruikt
Op 25 september 2025 bracht Cisco beveiligingsadviezen uit over drie nieuwe, ernstige kwetsbaarheden in zijn populaire ASA (Adaptive Security Appliance) en FTD (Firewall Threat Defense) producten. Twee van deze lekken, CVE-2025-20333 en CVE-2025-20362, worden al actief misbruikt als zero-days door een geavanceerde bedreigingsgroep. De urgentie voor organisaties om te patchen is dan ook extreem hoog.
Access42 meldt op zijn site details van deze kritieke kwetsbaarheden, de bedreigingsacteur erachter, en de onmiddellijke stappen die organisaties moeten ondernemen om hun netwerken te beveiligen. Ook NCSC meldt de dreiging.
Wat zijn Zero-Days en waarom zijn deze kwetsbaarheden zo gevaarlijk?
Zero-day kwetsbaarheden zijn beveiligingslekken die kwaadwillenden al misbruiken voordat de leverancier (Cisco in dit geval) of het publiek er weet van heeft, en voordat er een patch beschikbaar is. Dit geeft verdedigers een kritieke achterstand.
De kwetsbaarheden treffen Cisco ASA en Cisco FTD, die vaak worden ingezet als de cruciale beveiligingsperimeter bij organisaties wereldwijd.
De kwetsbaarheden in detail
De meest alarmerende kwetsbaarheid is CVE-2025-20333, een Remote Code Execution (RCE)-lek met een bijna maximale CVSS-score van 9,9 (ernst). Dit betekent dat een aanvaller in staat is om op afstand willekeurige code uit te voeren op het kwetsbare apparaat, wat leidt tot een volledige overname.
De tweede zero-day, CVE-2025-20362 (CVSS-score 6,5), maakt ongeautoriseerde toegang binnen de VPN-webserver mogelijk. Cruciaal is dat deze twee kwetsbaarheden worden gecombineerd (chaining) om volledige controle over een kwetsbaar ASA/FTD-apparaat te verkrijgen.
| CVE | Beschrijving | CVSS-score* | Misbruik in het wild? |
| CVE-2025-20333 | RCE in de VPN-webserver van ASA/FTD | 9,9 | Ja — actief misbruikt |
| CVE-2025-20362 | Ongeautoriseerde toegang binnen de VPN-webserver | 6,5 | Ja — in combinatie met CVE-2025-20333 |
| CVE-2025-20363 | RCE via webservices (ASA, IOS, IOS XE, IOS XR) | 9,0 | Nee — niet met zekerheid geconstateerd |
Exporteren naar Spreadsheets
De CVSS (Common Vulnerability Scoring System) geeft de ernst aan; een score van 9,9 is extreem kritiek.
De bedreigingsactor: UAT4356 / Storm-1849
Cisco heeft het misbruik van deze zero-days gekoppeld aan de geavanceerde bedreigingsacteur UAT4356, ook wel bekend als Storm-1849. Dit is dezelfde groep die in april 2024 al betrokken was bij de beruchte ArcaneDoor-campagne, waarbij andere Cisco-kwetsbaarheden werden uitgebuit.
Deze actor staat bekend om het gebruik van geavanceerde, persistente malware. Het Britse NCSC rapporteert dat in de meest recente aanvallen twee nieuwe, gevaarlijke malwarecomponenten zijn ingezet:
- RayInitiator: Een gesofisticeerde multi-stage bootkit. Deze is ontworpen om na een succesvolle aanval persistent te blijven, zelfs als het apparaat opnieuw wordt opgestart of als een firmware-upgrade wordt uitgevoerd.
- LINE VIPER: Een user-mode shellcode loader. Deze kan via HTTPS of ICMP worden geactiveerd en is modulair, wat betekent dat het verschillende kwaadaardige payloads kan laden. Het is bedoeld om na initiële compromis verdere stappen te ondernemen, zoals laterale bewegingen, datadiefstal of sabotage.
De betrokkenheid van een geavanceerde en vastberaden groep zoals Storm-1849 onderstreept de ernst van de situatie en de waarschijnlijkheid dat hun doelwitten organisaties met kritieke netwerkperimeters zijn.
Onmiddellijke Actie: Patches en Mitigaties
Cisco heeft gelukkig snel gehandeld en heeft inmiddels gepatchte versies uitgebracht voor zowel ASA als FTD. De dringendste aanbeveling luidt: Patch onmiddellijk.
Overzicht van beschikbare patches
Organisaties moeten controleren of hun huidige ASA- of FTD-versie wordt ondersteund voor een directe patch.
| CVE | Product / Versies | Gepatchte Versies (voorbeelden) |
| CVE-2025-20333 | ASA (9.16, 9.17, 9.18, 9.19, etc.) | 9.16.4.85, 9.17.1.45, 9.18.4.47, etc. |
| FTD (7.0, 7.2, 7.4, 7.6) | 7.0.8.1, 7.2.9, 7.4.2.4, 7.6.1 | |
| CVE-2025-20362 | ASA (9.16, 9.18, 9.20, etc.) | 9.16.4.85, 9.18.4.67, 9.20.4.10, etc. |
| FTD (7.0, 7.2, 7.4, 7.6, 7.7) | 7.0.8.1, 7.2.10.2, 7.4.2.4, 7.6.2.1, etc. |
Exporteren naar Spreadsheets
Klanten in minder recente FTD-branches (zoals 7.1 of 7.3) of oudere ASA-branches moeten upgraden naar een release die de patch bevat.
Aanbevolen acties
- Onmiddellijke Patching: Update ASA- of FTD-apparaten naar de gepatchte versies om de dreiging van exploit chaining weg te nemen.
- Beperk Blootstelling: Beperk de toegang tot de VPN-webserverfunctie tot alleen wanneer deze strikt noodzakelijk is. Gebruik IP-filtering, firewallregels of netwerksegmentatie om de aanvalsoppervlakte te verkleinen.
- Detectie & Monitoring: Monitor netwerkverkeer en logs op tekenen van misbruik. Let op ongewone webvpn-sessies, afwijkend verkeer, of pogingen tot exploits tegen de webserver-module van ASA/FTD.
- Gebruik Security Tools: Maak gebruik van security scanners, zoals die van Tenable, die plugins voor deze CVE's beschikbaar hebben. Dit helpt bij het snel identificeren van kwetsbare apparaten in uw infrastructuur.
- Herstelparaatheid: Zorg voor recente configuratieback-ups en valideer uw herstelplannen voor het geval een apparaat toch wordt gecompromitteerd.
Het Nederlandse NCSC heeft reeds een alert verstuurd, wat de nationale urgentie van deze zero-day dreiging benadrukt. Gezien de aard van de aanvallers, is het cruciaal dat organisaties proactief reageren om ernstige inbraken te voorkomen.
Meer over Security
Over Witold Kepinski
