Cisco: aanhoudende aanvallen op Firewalls (ASA en FTD)
Netwerkbeveiligingsgigant Cisco heeft een dringende waarschuwing afgegeven over een reeks geavanceerde en aanhoudende cyberaanvallen gericht op zijn populaire beveiligingsproducten, met name de Cisco Adaptive Security Appliance (ASA) en Secure Firewall Threat Defense (FTD) software.
De aanvallen, die al sinds mei 2025 aan de gang zijn, hebben recentelijk geleid tot een nieuwe, kritieke variant die onmiddellijke actie van klanten vereist om ernstige verstoringen te voorkomen.
Nieuwe DoS-dreiging: apparaten vallen onverwacht uit
Op 5 november 2025 bracht Cisco een update uit waarin het meldde dat het zich bewust is van een nieuwe aanvalsvariant. Deze variant richt zich op ongepatchte apparaten en exploiteert kwetsbaarheden (aangeduid als CVE-2025-20333 en CVE-2025-20362) om een Denial of Service (DoS)-conditie te veroorzaken. Het gevolg is een onverwachte herstart van de firewallapparaten, wat kan leiden tot tijdelijke uitval van de netwerkbeveiliging.
Cisco dringt er bij alle getroffen klanten op aan om onmiddellijk te upgraden naar de gecorrigeerde softwareversies om het risico op DoS-aanvallen te elimineren.
Link met ArcaneDoor en Zero-Days
De aanvalscampagne wordt door Cisco als zeer geavanceerd bestempeld. De eerste waarnemingen in mei 2025 betroffen inbreuken op bepaalde ASA 5500-X Series-apparaten met ingeschakelde VPN-webdiensten. Het doel van de aanvallers was het installeren van malware, het uitvoeren van commando's en het mogelijk stelen van gegevens.
Cisco merkt op dat de aanvallers meerdere zero-day kwetsbaarheden (nog onbekende beveiligingslekken) hebben misbruikt. Bovendien gebruikten zij geavanceerde ontduikingstechnieken, zoals het uitschakelen van logging en het opzettelijk laten crashen van apparaten om forensisch onderzoek te belemmeren.
Het bedrijf schat met grote zekerheid in dat deze recente activiteiten gerelateerd zijn aan dezelfde dreigingsacteur die eerder verantwoordelijk was voor de beruchte ArcaneDoor-aanvalscampagne in 2024.
Hardnekkige persistentie op oudere modellen
Een bijzonder zorgwekkende bevinding is dat de aanvallers op sommige gecompromitteerde apparaten de firmware, specifiek de ROMMON, hebben aangepast. Door deze wijziging konden de aanvallers persistent blijven binnen het netwerk, zelfs na een herstart of een software-update van het apparaat.
Deze methode om de persistentie te waarborgen, is enkel waargenomen op oudere modellen van de Cisco ASA 5500-X Series die de moderne beveiligingsmechanismen zoals Secure Boot missen. Cisco heeft geen bewijs gevonden van succesvolle inbreuken of persistentie op nieuwere platforms die wel over deze technologieën beschikken.
Klanten wordt dringend geadviseerd om de richtlijnen van Cisco op te volgen om hun blootstelling te bepalen en de aanbevolen beveiligingsupdates zo snel mogelijk door te voeren.
Over Witold Kepinski
