Thought Leadership
Die US-Cybersicherheitsbehörde mahnt an: Kritische Lücken in Cisco-Netzwerkgeräten werden aktiv angegriffen. Viele Administratoren wiegen sich in falscher Sicherheit.
Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine dringende Warnung vor zwei kritischen Sicherheitslücken in Ciscos Adaptive Security Appliances (ASA) und Firepower-Geräten herausgegeben. Darüber informiert der Cybersecurity-Anbieter 8com aktuell. Die Schwachstellen werden demnach bereits aktiv in Angriffen ausgenutzt und ermöglichen Angreifern die vollständige Kontrolle über betroffene Systeme.
Gefährliche Kombination: Zwei Schwachstellen im Verbund
Im Fokus stehen die Sicherheitslücken CVE-2025-20362 und CVE-2025-20333, die in Kombination besonders gefährlich sind. CVE-2025-20362 erlaubt es Angreifern, die Authentifizierung zu umgehen und auf eingeschränkte Bereiche des Geräts zuzugreifen. Über diese Hintertür lässt sich dann die zweite Schwachstelle CVE-2025-20333 ausnutzen, die eine Ausführung von Schadcode mit Root-Rechten ermöglicht – faktisch die Übernahme des gesamten Geräts.
Sicherheitsforscher beobachten den Einsatz beider Lücken in der Angriffskampagne “ArcaneDoor”, bei der Angreifer gezielt die Kontrolle über Netzwerk-Sicherheitsgeräte erlangen.
Patches vorhanden – aber nicht ausreichend
Cisco hat die Schwachstellen bereits im September 2025 mit Sicherheitsupdates geschlossen. Die CISA veröffentlichte zeitgleich die Emergency Directive 25-03, die Bundesbehörden zum sofortigen Patchen verpflichtete. Doch wie sich nun zeigt, reichte ein einfaches Update vielfach nicht aus.
Das Problem: Die Sicherheitspatches setzen bestimmte Mindestversionen der Software voraus. Für Cisco ASA Release 9.12 wird beispielsweise mindestens Version 9.12.4.72 benötigt, für Release 9.14 die Version 9.14.4.28. Diese spezifischen Versionen sind oft nur über separate Release-Downloads verfügbar. Viele Organisationen, darunter auch US-Bundesbehörden, gingen fälschlicherweise davon aus, ihre Systeme bereits aktualisiert zu haben, liefen aber weiterhin mit anfälligen Software-Versionen.
Auch interne Systeme betroffen
Die CISA betont, dass alle Cisco ASA- und Firepower-Geräte aktualisiert werden müssen, und zwar nicht nur solche mit direkter Internet-Anbindung. Geräte, die nach dem 26. September 2025 gepatcht wurden oder noch anfällige Versionen ausführen, sollten zusätzlich auf Kompromittierung überprüft werden.
Neue Angriffsvariante als Denial-of-Service
Cisco warnte kürzlich vor einer weiteren Variante der Attacke: Angreifer können ungepatchte Geräte mittels Denial-of-Service-Angriffen zum Absturz bringen und zu Neustarts zwingen.
Netzwerk-Peripheriegeräte sind für Cyberkriminelle überaus attraktiv. Kompromittierte Firewalls und Security Appliances bieten Angreifern einen Zugang ins Netzwerk, der viele herkömmliche Sicherheitsvorkehrungen umgeht. Administratoren sollten daher nicht nur patchen, sondern die erfolgreiche Installation der korrekten Software-Versionen explizit verifizieren.
(lb/8com)
