Schwerwiegende Sicherheitslücken in Cisco Adaptive Security Appliance - aktiv ausgenutzt - Updates verfügbar

26. September 2025

Beschreibung

Cisco hat Informationen zu einer vermutlich bereits seit einigen Monaten laufenden Angriffskampagne veröffentlicht. Im Rahmen dieser Kampagne haben Angreifer:innen, denen bereits im vergangenen Jahr eine breitgefächerte Kampagne gegen Edge-Devices zugerechnet wurde, Cisco Adaptive Security Appliance (ASA) Systeme der 5500-X Reihe welche "VPN web services" kompromittiert um in weiterer Folge auf den übernommenen Geräten Schadsoftware zu platzieren und Daten zu stehlen.

Aufgrund der Natur der Angriffe und der mutmaßlich verantwortlichen Täter:innen ist nach aktuellem Wissensstand davon auszugehen, dass der Bedrohungsakteur über einen längeren Zeitraum hinweg Kontrolle über kompromittierte Geräte hatte beziehungsweise diese über einen längeren Zeitraum hinweg mit Schadsoftware infiziert waren.

CVE-Nummer(n): CVE-2025-20333, CVE-2025-20362, CVE-2025-20363

CVSS Base Score: 9.9

Auswirkungen

Die Ausnutzung der Schwachstellen erlaubt Angreifer:innen die vollständige Übernahme von verwundbaren Systemen. Aufgrund der Natur der betroffenen Geräte ermöglicht dies den Angreifer:innen unter Umständen einen vollständigen Zugriff auf betroffene Netzwerke. Die Schwachstellen werden bereits aktiv ausgenutzt.

Betroffene Systeme

Laut Cisco sind folgende Systeme von den Angriffen betroffen sofern diese auf Cisco ASA Software in den Versionen 9.12 oder 9.14 laufen, VPN Web Services aktiviert haben und Secure Boot- sowie Trust Anchor-Technologien nicht unterstützen:

  • Cisco ASA 5512-X and 5515-X
  • Cisco ASA 5525-X, 5545-X, and 5555-X
  • Cisco ASA 5585-X

Abhilfe

Cisco empfiehlt Betroffenen nachdrücklich ein Update auf eine nicht mehr verwundbare Version. Bei Systemen bei denen ein solches aufgrund des End-of-Life Status des Gerätes nicht zur Verfügung steht sind verantwortliche Administrator:innen angehalten schnellstmöglich eine Migration auf ein neueres Gerät durchzuführen.

In Fällen wo weder ein Upgrade noch eine Migration möglich ist empfiehlt Cisco das Deaktivieren sämtlicher SSL/TLS-basierten VPN-Services. Eine Anleitung dazu, sowie eine Liste an nicht mehr verwundbaren Versionen, stellt Cisco in dem entsprechenden Security Advisory zur Verfügung.

Bei Verdacht auf oder bestätigter Kompromittierung eines Geräts sollten alle Konfigurationselemente des Systems als nicht vertrauenswürdig betrachtet werden.

Cisco empfiehlt, alle Konfigurationen - insbesondere lokale Passwörter, Zertifikate und Schlüssel - nach dem Upgrade auf eine korrigierte Version des Systems vollständig zu ersetzen.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

Cisco Secure Firewall Adaptive Security Appliance Software, Secure Firewall Threat Defense Software, IOS Software, IOS XE Software, and IOS XR Software Web Services Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O

Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices
https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices