Nederland telt zo'n achthonderd Cisco-firewalls met actief aangevallen kwetsbaarheden waarvoor beveiligingsupdates beschikbaar zijn. Dat meldt The Shadowserver Foundation op basis van een online scan. Wereldwijd gaat het nog om zo'n 45.000 ongepatchte apparaten. De twee kwetsbaarheden (CVE-2025-20333 en CVE-2025-20362) zijn aanwezig in de Cisco Adaptive Security Appliance (ASA) en Secure Firewall Threat Defense (FTD) software.

De FTD- en ASA-software draait op allerlei netwerkapparaten van Cisco, die onder andere voor hun firewall- en vpn-functionaliteit worden gebruikt. CVE-2025-20333 maakt het mogelijk voor een aanvaller die over vpn-inloggegevens van een gebruiker beschikt om kwetsbare code als root uit te voeren en zo het apparaat volledig over te nemen. CVE-2025-20362 maakt het mogelijk voor een ongeauthenticeerde aanvaller om url endpoints met betrekking tot de remote access VPN te benaderen die normaliter alleen na authenticatie zijn te bezoeken.

Door de twee kwetsbaarheden te combineren kan een ongeauthenticeerde remote aanvaller volledige controle over het apparaat krijgen. Aanvallers hebben deze twee beveiligingslekken bij recent waargenomen aanvallen ingezet, aldus Cisco. Het netwerkbedrijf kwam op 25 september met updates en een beveiligingsbulletin. Allerlei overheidsinstanties en cyberagentschappen riepen organisaties op om de updates te installeren.

Net Nationaal Cyber Security Centrum (NCSC) stelde dat de kwetsbaarheden onmiddellijke aandacht van organisaties vereisen. Twee weken na het verschijnen van de beveiligingsupdates zijn er volgens The Shadowserver Foundation nog altijd 45.000 kwetsbare Cisco-firewalls vanaf internet toegankelijk. In Nederland gaat het volgens de stichting, die geregeld onderzoek naar kwetsbare systemen op internet doet, om 790 apparaten.