26. September 2025
Beschreibung
Cisco hat Informationen zu einer vermutlich bereits seit einigen
Monaten laufenden Angriffskampagne veröffentlicht. Im Rahmen dieser
Kampagne haben Angreifer:innen, denen bereits im vergangenen Jahr
eine breitgefächerte Kampagne [1] gegen Edge-Devices zugerechnet
wurde, Cisco Adaptive Security Appliance (ASA) Systeme der 5500-X
Reihe welche "VPN web services" kompromittiert um in weiterer Folge
auf den übernommenen Geräten Schadsoftware zu platzieren und Daten zu
stehlen.
Aufgrund der Natur der Angriffe und der mutmaßlich verantwortlichen
Täter:innen ist nach aktuellem Wissensstand davon auszugehen, dass
der Bedrohungsakteur über einen längeren Zeitraum hinweg Kontrolle
über kompromittierte Geräte hatte beziehungsweise diese über einen
längeren Zeitraum hinweg mit Schadsoftware infiziert waren.
CVE-Nummer(n): CVE-2025-20333, CVE-2025-20362, CVE-2025-20363
CVSS Base Score: 9.9
Auswirkungen
Die Ausnutzung der Schwachstellen erlaubt Angreifer:innen die
vollständige Übernahme von verwundbaren Systemen. Aufgrund der Natur
der betroffenen Geräte ermöglicht dies den Angreifer:innen unter
Umständen einen vollständigen Zugriff auf betroffene Netzwerke. Die
Schwachstellen werden bereits aktiv ausgenutzt.
Betroffene Systeme
Laut Cisco sind folgende Systeme von den Angriffen betroffen sofern
diese auf Cisco ASA Software in den Versionen 9.12 oder 9.14 laufen,
VPN Web Services aktiviert haben und Secure Boot- sowie Trust
Anchor-Technologien nicht unterstützen:
* Cisco ASA 5512-X and 5515-X
* Cisco ASA 5525-X, 5545-X, and 5555-X
* Cisco ASA 5585-X
Abhilfe
Cisco empfiehlt Betroffenen nachdrücklich ein Update auf eine nicht
mehr verwundbare Version. Bei Systemen bei denen ein solches aufgrund
des End-of-Life Status des Gerätes nicht zur Verfügung steht sind
verantwortliche Administrator:innen angehalten schnellstmöglich eine
Migration auf ein neueres Gerät durchzuführen.
In Fällen wo weder ein Upgrade noch eine Migration möglich ist
empfiehlt Cisco das Deaktivieren sämtlicher SSL/TLS-basierten
VPN-Services. Eine Anleitung dazu, sowie eine Liste an nicht mehr
verwundbaren Versionen, stellt Cisco in dem entsprechenden
Security Advisory [2] zur Verfügung.
Bei Verdacht auf oder bestätigter Kompromittierung eines Geräts
sollten alle Konfigurationselemente des Systems als nicht
vertrauenswürdig betrachtet werden.
Cisco empfiehlt, alle Konfigurationen - insbesondere lokale
Passwörter, Zertifikate und Schlüssel - nach dem Upgrade auf eine
korrigierte Version des Systems vollständig zu ersetzen.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
[1] ArcaneDoor - New espionage-focused campaign found targeting
perimeter network devices
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaig…
[2] Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued…
[3] Cisco Secure Firewall Adaptive Security Appliance Software and
Secure Firewall Threat Defense Software VPN Web Server Remote
Code Execution
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
[4] Cisco Secure Firewall Adaptive Security Appliance Software,
Secure Firewall Threat Defense Software, IOS Software, IOS XE
Software, and IOS XR Software Web Services Remote Code Execution
Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
[5] ED 25-03: Identify and Mitigate Potential Compromise of Cisco
Devices
https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-…
--
// Otmar Lendl <lendl(a)cert.at> - T: +43 1 5056416 711
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien