« Terug naar nieuws

CVE-2025-20333 & CVE-2025-20362: wat je moet weten over de recente Cisco zero-days

26 september 2025

Bron: Tenable, Access42 SOC

Op 25 september 2025 bracht Cisco beveiligingsadviezen uit over drie nieuwe kwetsbaarheden, waarvan twee (CVE-2025-20333 en CVE-2025-20362) al werden misbruikt in het wild als zero-days.

Voor organisaties betekent dit een direct risico op netwerkcompromittering, datalekken en verstoring van diensten. In dit artikel bespreken we wat deze kwetsbaarheden inhouden, hoe ze worden uitgebuit, welke updates beschikbaar zijn en welke maatregelen je kunt nemen.

Management Samenvatting / TLDR

Wat is er aan de hand?

  • Twee kritieke kwetsbaarheden in Cisco ASA en FTD firewalls (CVE-2025-20333 en CVE-2025-20362) worden actief misbruikt.

  • Aanvallers kunnen hiermee apparaten volledig overnemen en toegang krijgen tot interne netwerken.

Waarom is dit belangrijk?

  • Zero-days: misbruik vindt plaats voordat organisaties tijd hebben om te patchen.

  • Gericht op kritieke infrastructuur: firewalls zijn dé toegangspoort tot je netwerk.

  • Actor: een geavanceerde statelijke dreigingsgroep (UAT4356/Storm-1849).

Impact bij exploitatie

  • Datalekken en verstoring van bedrijfsprocessen.

  • Mogelijke verdere aanvallen binnen het netwerk.

  • Langdurige hersteltrajecten bij infectie met persistente malware.

Wat moet je nu doen?

  • Patch onmiddellijk – installeer de door Cisco vrijgegeven updates.
  • Monitor actief – controleer logs en netwerkverkeer op afwijkingen.
  • Beperk blootstelling – zet webVPN uit als dit niet noodzakelijk is.
  • Bereid herstel voor – test back-ups en incident response plannen.

Achtergrond

  • Wat zijn zero-days?
    Zero-day kwetsbaarheden zijn beveiligingslekken die nog niet publiek bekend waren of waarvoor nog geen patch beschikbaar was toen kwaadwillenden ze begonnen te misbruiken. Dit maakt ze extra gevaarlijk.

  • Welke producten zijn getroffen?
    De kwetsbaarheden zitten in Cisco ASA (Adaptive Security Appliance) en Cisco FTD (Firewall Threat Defense). Ook is één van de drie kwetsbaarheden (CVE-2025-20363) relevant voor onder andere IOS, IOS XE en IOS XR, maar die is (vooralsnog) niet geconstateerd als actief geëxploiteerd.

De kwetsbaarheden in detail

Hieronder een samenvatting van de drie kwetsbaarheden, hun ernst en exploitstatus:

CVE Beschrijving CVSS-score* Misbruik in het wild?
CVE-2025-20333 RCE (remote code execution) in de VPN-webserver van ASA/FTD 9,9 Ja — actief misbruikt
CVE-2025-20362 Ongeautoriseerde toegang binnen de VPN-webserver 6,5 Ja — in combinatie met CVE-2025-20333 om controle te verkrijgen
CVE-2025-20363 RCE via webservices (ASA, IOS, IOS XE, IOS XR) 9,0 Nee — niet met zekerheid geconstateerd in het wild

* De CVSS (Common Vulnerability Scoring System) geeft een indicatie van de ernst van een kwetsbaarheid: hoe hoger, hoe ernstiger.

Door de combinatie (chaining) van CVE-2025-20333 en CVE-2025-20362 kan een aanvaller een kwetsbaar apparaat overnemen.

Wie zit erachter? UAT4356 / Storm-1849 (ArcaneDoor)

Cisco koppelt het misbruik van deze kwetsbaarheden aan de bedreigingsactor UAT4356, ook bekend als Storm-1849, die eerder actief was in de zogenaamde ArcaneDoor-campagne (april 2024).

In die campagne maakte de actor gebruik van andere Cisco-kwetsbaarheden (bijv. CVE-2024-20353 en CVE-2024-20359) en gebruikte hij geavanceerde malware zoals LINE DANCER en LINE RUNNER.

Het Nederlandse NCSC heeft een alert verstuurd. In de meest recente aanval waren twee malwarecomponenten betrokken, volgens een malware rapport van het Britse NCSC:

  • RayInitiator: een multi-stage bootkit, ontworpen om persistent te blijven, zelfs na een reboot of firmware-upgrade van het apparaat.

  • LINE VIPER: een user-mode shellcode loader, die via HTTPS of ICMP geactiveerd kan worden en modulair verschillende payloads kan deployen.

Deze malware kan opdrachten uitvoeren van een command-&-control server, en is bedoeld om later extra stappen te zetten na compromis.

Beschikbare patches en mitigaties

Cisco heeft inmiddels versies uitgebracht die de kwetsbaarheden verhelpen voor zowel ASA als FTD.

Overzicht patches

CVE Product / Versies Gepatchte versie
CVE-2025-20333 ASA (9.16, 9.17, 9.18, 9.19, 9.20, 9.22) 9.16.4.85, 9.17.1.45, 9.18.4.47, 9.19.1.37, 9.20.3.7, 9.22.1.3
FTD (7.0, 7.2, 7.4, 7.6) 7.0.8.1, 7.2.9, 7.4.2.4, 7.6.1
CVE-2025-20362 ASA (9.16, 9.18, 9.20, 9.22, 9.23) 9.16.4.85, 9.18.4.67, 9.20.4.10, 9.22.2.14, 9.23.1.19
FTD (7.0, 7.2, 7.4, 7.6, 7.7) 7.0.8.1, 7.2.10.2, 7.4.2.4, 7.6.2.1, 7.7.10.1
CVE-2025-20363 ASA (9.16, 9.18, 9.19, 9.20, 9.22, 9.23) 9.16.4.84, 9.18.4.57, 9.19.1.42, 9.20.3.16, 9.22.2, 9.23.1.3
FTD (7.0, 7.2, 7.4, 7.6, 7.7) 7.0.8, 7.2.10, 7.4.2.3, 7.6.1, 7.7.10

Belangrijke aandachtspunten:

  1. Versies binnen branches zoals 9.17 en 9.19 moeten mogelijk gemigreerd worden naar een versie waarin de patch zit.

  2. Voor FTD geldt dat klanten die nog in branches 7.1 of 7.3 zitten, moeten upgraden naar een gepatchte release.

  3. De patch voor CVE-2025-20363 is uitgebracht, maar deze kwetsbaarheid is niet officieel geclassificeerd als actief misbruikt.

Cisco raadt aan om de geadviseerde updates zo snel mogelijk toe te passen.

Aanbevolen acties & mitigaties

  1. Patch onmiddellijk
    Werk je ASA- of FTD-apparaten bij naar de gepatchte versies. Voorkom dat je blootstaat aan exploit chaining.

  2. Detectie & monitoring
    Monitor op tekenen van misbruik, bijvoorbeeld ongewone webvpn-sessies, afwijkend netwerkverkeer of pogingen tot exploits van de webserver-module van ASA/FTD.

  3. Beperk blootstelling
    Zet de VPN-webserverfunctie alleen aan als het strikt nodig is. Overweeg om toegang te beperken via IP-filtering, firewallregels of netwerksegmentatie.

  4. Back-ups & herstelplannen
    Zorg dat je configuratiebackups hebt en dat herstelplannen klaar zijn als een apparaat is gecompromitteerd.

  5. Threat intelligence & dreigingscontext
    Aangezien deze kwetsbaarheden worden gebruikt door een geavanceerde actor (UAT4356 / Storm-1849), is het zinvol om threat intelligence te betrekken bij je beveiligingsstrategie.

  6. Gebruik security tools / scanners
    Tools zoals Tenable bieden plugins voor deze CVE’s zodat je snel kunt scannen op kwetsbare apparaten:

    Daarnaast kan Access42 ondersteunen bij het detecteren en mitigeren van deze kwetsbaarheden. Een van de mogelijkheden is detectie middels Attack Surface Management:

     

Waarom dit belangrijk is voor organisaties

  • Grote impact: CVE-2025-20333 heeft een zeer hoge ernst (9,9), wat betekent dat een exploit tot volledige overname mogelijk is.

  • Actief misbruikt: Het feit dat deze kwetsbaarheden al in het wild gebruikt worden, maakt de urgentie groot.

  • Doelwit van geavanceerde aanvallers: Organisaties met kritieke netwerkperimeters, zoals overheden, infrastructuurbedrijven, financiële instellingen, zijn aantrekkelijke doelwitten.

  • Risico op latere escalatie: Een aanvaller die eenmaal binnen is, kan verder gaan met laterale bewegingen, datadiefstal of sabotage.

 

Meer informatie:

Deel dit artikel

Cisco vulnerability