Cisco maakte woensdag bekend dat het op de hoogte was van een nieuwe aanvalsvariant die is ontworpen om zich te richten op apparaten met Cisco Secure Firewall Adaptive Security Appliance (ASA)-software en Cisco Secure Firewall Threat Defense (FTD)-softwarereleases die vatbaar zijn voor CVE-2025-20333 en CVE-2025-20362.
“Deze aanval kan ervoor zorgen dat niet-gepatchte apparaten onverwacht opnieuw worden geladen, wat leidt tot Denial-of-Service (DoS)-omstandigheden”, aldus het bedrijf in een bijgewerkt advies, waarin het klanten aanspoort de updates zo snel mogelijk toe te passen.
Beide kwetsbaarheden werden eind september 2025 onthuld, maar niet voordat ze werden uitgebuit als zero-day-kwetsbaarheden bij aanvallen die malware zoals RayInitiator en LINE VIPER leverden, aldus het Britse National Cyber Security Center (NCSC).
Terwijl succesvolle exploitatie van CVE-2025-20333 een aanvaller in staat stelt willekeurige code als root uit te voeren met behulp van vervaardigde HTTP-verzoeken, maakt CVE-2025-20362 het mogelijk om zonder authenticatie toegang te krijgen tot een beperkte URL.
De update komt terwijl Cisco twee kritieke beveiligingsfouten in Unified Contact Center Express (Unified CCX) aanpakt, waardoor een niet-geverifieerde externe aanvaller willekeurige bestanden kan uploaden, authenticatie kan omzeilen, willekeurige opdrachten kan uitvoeren en rechten naar root kan verhogen.
De grote netwerkapparatuur heeft beveiligingsonderzoeker Jahmel Harris gecrediteerd voor het ontdekken en rapporteren van de tekortkomingen. De kwetsbaarheden worden hieronder vermeld:
- CVE-2025-20354 (CVSS-score: 9,8) – Een kwetsbaarheid in het Java Remote Method Invocation (RMI)-proces van Unified CCX waardoor een aanvaller willekeurige bestanden kan uploaden en willekeurige opdrachten met root-rechten kan uitvoeren op een getroffen systeem.
- CVE-2025-20358 (CVSS-score: 9,4) – Een kwetsbaarheid in de Contact Center Express (CCX) Editor-applicatie van Unified CCX waardoor een aanvaller de authenticatie kan omzeilen en beheerdersrechten kan verkrijgen om willekeurige scripts op het onderliggende besturingssysteem te maken en deze uit te voeren.
Ze zijn aangepakt in de volgende versies:
- Cisco Unified CCX Release 12.5 SU3 en eerder (opgelost in 12.5 SU3 ES07)
- Cisco Unified CCX versie 15.0 (opgelost in 15.0 ES01)
Naast de twee kwetsbaarheden heeft Cisco patches uitgebracht voor een zeer ernstige DoS-bug (CVE-2025-20343, CVSS-score: 8,6) in Identity Services Engine (ISE) waardoor een niet-geverifieerde externe aanvaller ervoor kan zorgen dat een gevoelig apparaat onverwacht opnieuw opstart.
“Deze kwetsbaarheid is te wijten aan een logische fout bij het verwerken van een RADIUS-toegangsverzoek voor een MAC-adres dat al een afgewezen eindpunt is”, aldus het rapport. “Een aanvaller kan misbruik maken van dit beveiligingslek door een specifieke reeks van meerdere vervaardigde RADIUS-toegangsverzoekberichten naar Cisco ISE te sturen.”
Hoewel er geen bewijs is dat een van de drie beveiligingslekken in het wild is uitgebuit, is het voor optimale bescherming essentieel dat gebruikers de updates zo snel mogelijk toepassen.
