CISA warnt vor Angriffen auf Cisco ASA und Firepower-Geräte
Besonderen Anlass zur Sorge geben die beiden Schwachstellen CVE-2025-20362 und CVE-2025-20333. CVE-2025-20362 ermöglicht es einem Angreifer, die Anmeldeanforderung zu umgehen und auf einen eingeschränkten Bereich des Geräts zuzugreifen. Dies ermöglicht dann die Ausnutzung der zweiten, noch gefährlicheren Schwachstelle CVE-2025-20333, die es dem Angreifer erlaubt, seinen eigenen bösartigen Code als „Root“-Benutzer auszuführen, was möglicherweise zur vollständigen Kontrolle über das betroffene Gerät führt.
Berichten zufolge werden diese beiden Schwachstellen von Angreifern in einer Kampagne namens ArcaneDoor genutzt, um die vollständige Kontrolle über die betroffenen Systeme zu erlangen. Cisco hat diese Sicherheitslücken bereits im September behoben, dennoch besteht die Bedrohung weiterhin und stellt ein Risiko für Daten und Systeme dar, solange die entsprechenden Updates nicht durchgeführt wurden.
Ebenfalls im September veröffentlichte die CISA die Emergency Directive 25-03, in der bereits vor den Angriffen gewarnt und auf die notwendigen Updates hingewiesen wurde. Allerdings gingen viele Organisationen, darunter auch Bundesbehörden, offenbar fälschlicherweise davon aus, dass sie ihre Geräte bereits aktualisiert hatten. Zudem stellte die CISA fest, dass auch Systeme, die als gepatcht gekennzeichnet waren, weiterhin mit anfälliger Software liefen.
Eine genauere Untersuchung zeigte schließlich, dass eine einfache Aktualisierung nicht ausreichend war, um die Schwachstellen zu schließen, denn das Update erforderte eine Mindestversion der Software. Beispielsweise benötigt Cisco ASA Release 9.12 die Version 9.12.4.72 und Release 9.14 die Version 9.14.4.28, die oft über einen speziellen Release-Download zugänglich sind.
Unternehmen müssen demnach alle Cisco ASA- und Firepower-Geräte aktualisieren, nicht nur diejenigen, die mit dem öffentlichen Internet verbunden sind. Wenn Geräte nach dem 26. September 2025 aktualisiert wurden oder noch anfällige Versionen ausführen, empfiehlt die CISA zusätzliche Maßnahmen, um verbleibende Bedrohungen zu überprüfen und zu beseitigen.
Auch Cisco hat kürzlich eine Warnung vor einer weiteren Variante des Angriffs veröffentlicht, die als Denial-of-Service-Attacke dazu führen kann, dass nicht gepatchte Cisco-Geräte plötzlich nicht mehr funktionieren und neu starten. Das zeigt, wie wichtig es ist, die betroffenen Geräte mit dem Sicherheitsupdate adäquat abzusichern – und diese Absicherung im Anschluss auch zu überprüfen. Denn derartige Angriffe auf Peripheriegeräte sind für Cyberkriminelle überaus interessant, da sie den Weg in ein Netzwerk vorbei an vielen Sicherheitsvorkehrungen bieten.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
