[English]Die US Cybersicherheitsbehörde CISA hat eine dringende Warnung an US-Behörden herausgegeben. Cisco ASA (Adaptive Security Appliance) wird über 0-day-Schwachstellen in den Webservices aktiv angegriffen. US-Behörden müssen sofort auf die Schwachstellen reagieren und Gegenmaßnahmen ergreifen.
Die Warnung der CISA findet sich in nachfolgendem Tweet sowie in dieser CISA-Direktive für US-Behörden.
Der CISA ist eine laufende Exploit-Kampagne eines hochentwickelten Angreifers bekannt, die auf Cisco Adaptive Security Appliances (ASA) abzielt. Die Kampagne ist weit verbreitet und umfasst die Ausnutzung von Zero-Day-Schwachstellen, um unauthentifizierte Remote-Code-Ausführung auf ASAs zu erreichen. Hinzu kommt die Manipulation des Nur-Lese-Speichers (ROM), um auch nach einem Neustart und System-Upgrade bestehen zu bleiben.
Diese Aktivität der Angreifer stellt ein erhebliches Risiko für die Netzwerke der Opfer dar. Cisco geht davon aus, dass diese Kampagne mit den Anfang 2024 identifizierten Aktivitäten von ArcaneDoor in Verbindung steht und dass dieser Angreifer bereits seit mindestens 2024 in der Lage ist, den ROM von ASA erfolgreich zu modifizieren.
Diese Zero-Day-Schwachstellen in der Cisco ASA-Plattform sind auch in bestimmten Versionen von Cisco Firepower vorhanden. Das Secure Boot der Firepower-Appliances würde die identifizierte Manipulation des ROM erkennen. Von der CISA wurden folgende Schwachstellen genannt:
- CVE-2025-20333: Eine Schwachstelle im VPN-Webserver der Cisco Secure Firewall Adaptive Security Appliance (ASA)-Software und der Cisco Secure Firewall Threat Defense (FTD)-Software könnte es einem authentifizierten Angreifer ermöglichen, beliebigen Code auf einem betroffenen Gerät auszuführen. Diese Schwachstelle ist auf eine unzureichende Validierung von Benutzereingaben in HTTP(S)-Anfragen zurückzuführen. Ein Angreifer mit gültigen VPN-Benutzeranmeldedaten könnte diese Sicherheitslücke ausnutzen, indem er manipulierte HTTP-Anfragen an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen Code als Root auszuführen, was möglicherweise zur vollständigen Kompromittierung des betroffenen Geräts führen könnte.
- CVE-2025-20362: Eine Schwachstelle im VPN-Webserver der Cisco Secure Firewall Adaptive Security Appliance (ASA)-Software und der Cisco Secure Firewall Threat Defense (FTD)-Software könnte es einem nicht authentifizierten, entfernten Angreifer ermöglichen, ohne Authentifizierung auf eingeschränkte URL-Endpunkte zuzugreifen, die ohne Authentifizierung normalerweise nicht zugänglich sind. Diese Schwachstelle ist auf eine unsachgemäße Validierung von Benutzereingaben in HTTP(S)-Anfragen zurückzuführen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er manipulierte HTTP-Anfragen an einen bestimmten Webserver auf einem Gerät sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, ohne Authentifizierung auf eine eingeschränkte URL zuzugreifen.
Die CISA schreibt vor, dass diese Schwachstellen unverzüglich durch die in dieser Richtlinie beschriebenen Maßnahmen behoben werden müssen. Bleeping Computer hat hier noch einige Informationen zusammen getragen.
Ergänzung: Rapid7 widmet sich in diesem Artikel dem Thema und Tenable hat eine FAQ dazu.
MVP: 2013 – 2016
Da freuen wir uns direkt über die Notfallaktualisierungen bei allen betroffenen Kunden, die jetzt notwendig werden.
Die Sicherheit dieser Appliance passt sich adaptiv an. Ich finde den Markennamen sehr passend. ;-)
Wenn man Cisco liest braucht man eigentlich nicht weiter lesen. Da ist doch gefühlt täglich bis wöchentlich was dabei. Was machen die da eigentlich so beruflich? IT-Sicherheit kann es ja scheinbar nicht sein.
Was ist aus dieser Weltfirma nur geworden. Die waren früher das non plus Ultra im Sicherheitsbereich.
Sind sie jetzt auch noch, nur auf der anderen Seite.
Ist wieder mal eine eingebaute Backdoor aufgeflogen, passiert.