En cyberattack, utförd av den hackargrupp som kallas Storm-1849 (också spårad som UAT4356), har visat sig vara en allvarlig global hot mot Cisco-brandade brandväggar. Palo Alto Networks’ Unit 42 har identifierat gruppen och rapporterat att de aktivt försöker komma åt och utnyttja en populär serie Cisco Adaptive Security Appliances (ASA), vilket är avgörande för myndigheter, försvar och stora företag i USA, Europa och Asien.

Attacken, som intensivt pågick under hela oktober månad, har redan visat sig påverka ett brett spektrum av organisationer. I USA observerade Unit 42 aktivitet mot 12 nätverksadresser knutna till federala myndigheter och ytterligare 11 adresser som tillhörde statliga och lokala myndigheter. Ett intressant inslag i attacken var en period av inaktivitet mellan den 1:a och 8:e oktober, sannolikt på grund av Kinas högtider (Golden Week).

Hotet sträcker sig långt bortom USA. Offentliga nätverksadresser i en rad andra länder har också varit måltavlor, inklusive Indien, Nigeria, Japan, Norge, Frankrike, Storbritannien, Nederländerna, Spanien, Australien, Polen, Österrike, Förenade Arabemiraten, Azerbajjan och Bhutan.

Storm-1849 har också riktat in sig på amerikanska finansiella institutioner, militära organisationer och försvar leverantörer. Pete Renals, director of National Security Programs för Unit 42, noterade att gruppen ”persisterade i att angripa sårbara myndighets-edge enheter” under hela oktober.

Hackarna kombinerar två kända sårbarheter i Cisco ASA-enheterna: CVE-2025-30333 (CVSS 9.9) och CVE-2025-20362 (CVSS 6.5). Detta möjliggör för angripare att erhålla djup och bestående kontroll över enheterna. CVE-2025-30333 gör det möjligt för en angripare med VPN-behörigheter att köra sin egen kod på enheten, medan CVE-2025-20362 gör det möjligt för en outloggnad distansattacker att kringgå säkerhetskontroller och få tillgång till begränsade områden.

US Cybersecurity and Infrastructure Security Agency (CISA) hade redan utfärdat ett nödriktlinje för en månad sedan, genom att be alla federala civila myndigheter att snabbt applicera patchar för dessa två problem. Trots säkerhetsvarningar fortsatte attackerna. Det visar också att angriparna har funnit sätt att bibehålla sin åtkomst, även om enheten startas om eller får en systemuppdatering.

Flera säkerhetsexperter har delat sina perspektiv på denna upptäckt med Hackread.com. James Maude, Field CTO vid BeyondTrust, betonade behovet av att ”hålla lugnet och patcha” de två CVE:erna omedelbart, i enlighet med CISA-direktiven. Han betonade att, med tanke på angriparnas förmåga att modifiera inställningar och bibehålla åtkomst, måste alla organisationer som misstänker en kompromiss, återställa sina Cisco-konfigurationer till fabriksinställningarna, ändra alla lösenord, nycklar och certifikat innan de konfigurerar enheten igen. Heath Renfrow, Co-Founder och Chief Information Security Officer vid Fenix24, bekräftade att de fortsatta attackerna visar att ”edge enheter nu är primära mål, inte sekundär infrastruktur”.