Cisco-firewalls onder vuur: patchen nodig (update)

In dit artikel:

Cisco waarschuwt voor aanhoudende en verergerde aanvallen op zijn firewallproducten; sinds mei 2025 richten aanvallers zich op apparaten met Secure ASA- en Secure FTD-software en veroorzaken ze onder meer continue herstarts die tot netwerkuitval leiden. Hoewel Cisco in september patches uitbracht voor de kwetsbaarheden CVE-2025-20333 en CVE-2025-20362, blijven exploits optreden en raadt het bedrijf klanten dringend aan de nieuwste beveiligingsupdates te installeren.

Britse en Amerikaanse veiligheidsinstanties — het NCSC en CISA — zouden volgens berichtgeving betrokken zijn bij de respons. Cisco zegt sinds mei samen te werken met meerdere overheidsinstanties en bevestigt dat minstens één Amerikaanse overheidsorganisatie is getroffen, zonder echter namen vrij te geven of de aanvallers aan een staat toe te schrijven. Onderzoek wijst erop dat dezelfde geavanceerde groep mogelijk achter de ArcaneDoor-campagne uit 2024 zit; Cisco gebruikte intern de codenaam UAT4356 voor die groep.

De aanvallers combineren zero-days met detectieontwijkende technieken: uitgeschakelde logging, onderschepte commando’s, doelbewuste crashes en zelfs aanpassingen aan het ROM Monitor-programma om malware persistent te houden. Daarnaast heeft Cisco twee kritieke lekken in Unified Contact Center Express (CVE-2025-20354 en CVE-2025-20358) gepatcht; deze maakten ongeauthenticeerde uploads of root-executie mogelijk. Gebruikers van UCCX moeten direct upgraden naar 12.5 SU3 ES07 of 15.0 ES01.

Kortom: actieve, geraffineerde aanvallen richten zich op Cisco-firewalls en contactcentersoftware — organisaties moeten patches toepassen en hun detectie- en responsmaatregelen aanscherpen om verdere uitval en compromittering te voorkomen.