Kwetsbaarheden verholpen in Cisco Secure Firewall ASA en FTD
Cisco heeft beveiligingsupdates uitgebracht voor Cisco Secure Firewall ASA en FTD. De kwetsbaarheden CVE-2025-20333 - CVSS (v3) 9.9, CVE-2025-20363 - CVSS (v3) 9.0 en CVE-2025-20362 - CVSS (v3) 6.5 worden momenteel actief uitgebuit op niet-gepatchte systemen.
T-Update
Deze liveblog bevat informatie over kwetsbaarheden in Cisco Secure Firewall ASA en FTD. Cisco heeft beveiligingsupdates uitgebracht om deze kwetsbaarheid te verhelpen.
De volgende CVE’s zijn van toepassing:
· CVE-2025-20333 – Remote CodeExecution (CVSS 9.9)
· CVE-2025-20362 – UnauthorizedAccess (CVSS 6.5)
· CVE-2025-20363 – Remote CodeExecution (CVSS 9.8)
Actieve uitbuiting
Cisco en het NCSC bevestigen dat er pogingen tot misbruik zijn waargenomen. Hoewel er nog geen publieke exploit beschikbaar is,verwacht het NCSC dat deze op korte termijn zal verschijnen, wat het risico op grootschalige aanvallen vergroot. Uit onze analyse blijkt dat de kwetsbaarheden momenteel actief worden uitgebuit en worden gelinkt aan malware.
Laatste update op 26 september 2025.
Achtergrond
Cisco heeft meerdere kwetsbaarheden verholpen in Cisco Secure Firewall Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) Software. Deze kwetsbaarheden bevinden zich in de VPN Web Server-component en maken het mogelijk voor aanvallers om zonder authenticatie toegang te krijgen tot gevoelige onderdelen van het systeem of zelfs willekeurige code uit te voeren met rootrechten. De kwetsbaarheden worden veroorzaakt door onvoldoende validatie van gebruikersinvoer in HTTPS-verzoeken. In sommige gevallen is alleen een VPN-account nodig om misbruik te maken van de kwetsbaarheid. Het T-SOC monitort de situatie nauwlettend.
Risico
Uit analyse blijkt dat CVE-2025-20333 en CVE-2025-20362 in combinatie met elkaar worden uitgebuit. Hierbij dient CVE-2025-20362 als gateway of steppingstone waarna CVE-2025-20333 vervolgens wordt uitgebuit.
Een succesvolle aanval kan leiden tot:
· Volledige compromittering van het apparaat
· Toegang tot afgeschermde URL’s zonder authenticatie
· Uitschakeling van beveiligingsmaatregelen
De kwetsbaarheden CVE-2025-20333 en CVE-2025-20362 worden naar verluidt misbruikt door een geavanceerde, staat-gesponsorde actor: UAT4356, ook bekend als STORM-1849. Deze actor is eerder geïdentificeerd in de ArcaneDoor-campagne, gericht op netwerkperimeter-apparatuur zoals firewalls en VPN-apparaten, met een specifieke focus op Cisco ASA en FTD.
Kenmerken van deze actor:
· Diepgaande kennis van Cisco-apparatuur
· Gebruik van anti-forensische technieken om detectie te voorkomen
· Persistentie: malware blijft actief na reboot of firmware-updates
· Gebruik van custom backdoors: Line Runner en Line Dancer voor configuratiewijziging, netwerkverkenning, datadiefstal en laterale beweging,
Deze combinatie van technische expertise en stealth maakt de uitbuiting bijzonder risicovol voor organisaties met gevoelige netwerken of kritieke infrastructuur.
Advies
· Update direct naar een gepatchte versie van Cisco ASA of FTD Software.
· Controleer op Indicators of Compromise (IoC) zoals gepubliceerd door Cisco.
· Beperk toegang tot VPN-webinterfaces tot vertrouwde netwerken.
· Monitor actief op afwijkend gedrag en ongeautoriseerde toegangspogingen.
Bronnen
· CVE-2025-20333 - CVSS (v3) 9.9
· CVE-2025-20363 - CVSS (v3) 9.0
· CVE-2025-20362 - CVSS (v3) 6.5
· https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
· https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
