Amerikaanse overheidsinstanties moeten actief aangevallen kwetsbaarheden in firewalls van Cisco binnen een dag patchen. Dat heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald. Het gaat om twee beveiligingslekken aangeduid als CVE-2025-20333 en CVE-2025-20362.

CVE-2025-20333 bevindt zich in de Cisco Secure Firewall Adaptive Security Appliance (ASA) software en Cisco Secure Firewall Threat Defense (FTD) software. Via het beveiligingslek kan een geauthenticeerde aanvaller op afstand willekeurige code als root op de firewall uitvoeren en zo het apparaat volledig overnemen. Vereiste voor het uitvoeren van de aanval is dat een aanvaller over de inloggegevens van een vpn-gebruiker beschikt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.9.

De tweede kwetsbaarheid is ook aanwezig in de Cisco Secure Firewall ASA Software. Dit lek maakt het mogelijk voor een ongeauthenticeerde aanvallers om url endpoints te benaderen die normaliter alleen na authenticatie zijn te bezoeken. De impactscore van deze kwetsbaarheid is vastgesteld op een 6.5. Het Amerikaanse cyberagentschap geeft geen details over de waargenomen aanvallen. Ook is onbekend sinds wanneer de aanvallen plaatsvinden.

Het CISA houdt een overzicht bij van actief aangevallen kwetsbaarheden, de Known Exploited Vulnerabilities (KEV) Catalog. Een "Binding Operational Directive" verplicht federale Amerikaanse overheidsinstanties, zoals ministeries en agentschappen, om kwetsbaarheden op de lijst binnen een bepaalde tijd te patchen. Normaliter hanteert het CISA een periode van drie weken voor het patchen van actief aangevallen kwetsbaarheden.

In het geval van CVE-2025-20333 en CVE-2025-20362 kwam het cyberagentschap gisterenavond met de opdracht aan federale Amerikaanse overheidsinstanties dat de Cisco-updates uiterlijk vandaag moeten zijn geïnstalleerd. Daarnaast moeten overheidsinstanties die van Cisco ASA-apparaten gebruikmaken vandaag een core dump naar het CISA uploaden. Vervolgens wordt gecontroleerd of het betreffende netwerkapparaat is gecompromitteerd. Wanneer dit het geval is moeten instanties dit melden.

Cisco waarschuwde gisteren zelf ook voor een ander actief aangevallen beveiligingslek, CVE-2025-20352. Deze kwetsbaarheid is aanwezig in Cisco IOS en IOS XE, de besturingssystemen die op de switches en routers van Cisco draaien. Via het beveiligingslek kan een aanvaller code als root uitvoeren en het apparaat zo volledig compromitteren. Voorwaarde voor misbruik is wel dat een aanvaller beschikt over administrative of "privilege 15" credentials. Naast de inloggegevens moet de aanvaller ook over de SNMPv1 of v2c read-only community string beschikken of SNMPv3 user credentials. Dit lek is nog niet aan de KEV-catalogus van het CISA toegevoegd.