-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Cisco Secure Firewall ASA en FTD Advisory ID : NCSC-2025-0298 Versie : 1.00 Kans : high CVE ID : CVE-2025-20333, CVE-2025-20362, CVE-2025-20363 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') Heap-based Buffer Overflow Missing Authorization Uitgiftedatum : 20250925 Toepassing : Cisco ASA 5500 Cisco ASA 5500 Firmware Cisco ASA 5500-X Series IPS SSP Software Versie(s) : Platform(s) : Beschrijving Cisco heeft kwetsbaarheden verholpen in Cisco Secure Firewall ASA en FTD Software. De kwetsbaarheid met kenmerk CVE-2025-20333, bevindt zich in de wijze waarop de software gebruikersinvoer in HTTP(S)-verzoeken valideert. Een aanvaller met geldige VPN-inloggegevens kan deze kwetsbaarheid misbruiken door speciaal vervaardigde HTTP-verzoeken naar een getroffen apparaat te sturen. Dit kan de aanvaller in staat stellen om willekeurige code uit te voeren met rootrechten, wat mogelijk leidt tot de volledige compromittering van het getroffen apparaat. De kwetsbaarheid met kenmerk CVE-2025-20363, bevindt zich in de wijze waarop de software gebruikersinvoer in HTTP(S)-verzoeken valideert. Een aanvaller kan deze kwetsbaarheid misbruiken door speciaal vervaardigde HTTP-verzoeken te sturen naar een gerichte webservice op een getroffen apparaat, nadat hij aanvullende systeeminformatie heeft verkregen, exploit-mitigaties heeft omzeild, of beide. Een geslaagde exploit kan de aanvaller in staat stellen willekeurige code uit te voeren met rootrechten, wat kan leiden tot de volledige compromittering van het getroffen apparaat. De kwetsbaarheid met kenmerk CVE-2025-20362, bevindt zich in de wijze waarop de software gebruikersinvoer in HTTP(S)-verzoeken valideert. Een aanvaller kan deze kwetsbaarheid misbruiken door speciaal vervaardigde HTTP-verzoeken naar een gerichte webserver op een apparaat te sturen. Een geslaagde exploit kan de aanvaller in staat stellen om zonder authenticatie toegang te krijgen tot een beperkt toegankelijke URL. De kwetsbaarheden met kenmerk CVE-2025-20333 en CVE-2025-20363 zijn ernstig en vereisen onmiddellijke aandacht, aangezien ze kunnen leiden tot ongeautoriseerde controle over de systemen. Aanvallers kunnen deze kwetsbaarheden misbruiken om beveiligingsmaatregelen te omzeilen. Cisco is op de hoogte van pogingen tot misbruik van deze kwetsbaarheid. Er is (nog) geen publieke Proof-of-Concept-code (PoC) of exploit beschikbaar. Het NCSC verwacht dat PoC of Exploits binnen zeer korte termijn beschikbaar gaat komen, waarmee het risico op grootschalig misbruik toeneemt. Het NCSC adviseert met klem om deze updates zo snel mogelijk te installeren. Mogelijke oplossingen Cisco heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Ook heeft Cisco Indicators of Compromise (IoC) gepubliceerd, waarmee kan worden onderzocht of een systeem is gecompromitteerd, en tijdelijke mitigatiestappen beschikbaar gesteld. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://sec.cloudapps.cisco.com/security/center/content/CiscoSecur ityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW Reference https://sec.cloudapps.cisco.com/security/center/content/CiscoSecur ityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB Reference https://sec.cloudapps.cisco.com/security/center/content/CiscoSecur ityAdvisory/cisco-sa-http-code-exec-WmfP3h3O Reference https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_ continued_attacks Reference https://sec.cloudapps.cisco.com/security/center/resources/detectio n_guide_for_continued_attacks Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmjVh0QACgkQytTOqyR+ cF9ePAv+PWcFF6BpQeZaQcCOGmD2Qb7uqMDU7EuZ9v+xc16LIqNn4uwSZQ7QoZKz HhBU/41gw/Y8W6y9wwE8dPvcujvfMv1MU8d6/RLLZIp6HWIDPBtPYc0bWUhd5zbK hAPdf4sce3mQFJzJ6Kcv1tn73im1Co1HLBGwWtLXHvCgR1+VPjM2aGmrkNuYx3Ze n3KcpmE9OT9OQUekKk/llmultqaiuQ7WE/rojE+Hgp8gIIxjRjabNURAecOP2Osm lCwwdd8a6x1EMiq+CGgHtDrO8Zq04tV7TMFZfyxCBFQ/nvn+gcHAUydVlYr207Bh yszxDOiguTZjRxvVLqU8ho+MardltAxAj/nRl0pBXmRtPc768WCP6BJXvuAXwqVx jsIY9HJ6Rkk5yhn2X1NIEIligMN9zzU87sMQTPmGvGVL97BdF8P5gB2FTgpctNUq Z9menTsBHgqspdWKGXLnEvqoTupwPeqgpddsAZwrJtiwZX9Zthhwmc49xVHE1a1h KlLVyukO =F4DI -----END PGP SIGNATURE-----