ISGroup Cybersicherheitsberatung

CVE-2025-20362: Schwachstelle aufgrund fehlender Autorisierung in Cisco ASA/FTD Web-VPN-Diensten

CVE-2025-20362 betrifft Cisco Adaptive Security Appliance (ASA) Software und Firepower Threat Defense (FTD) Software, bei denen die VPN-Webserver-Dienste (WebVPN) aktiviert sind. Die Schwachstelle liegt in der WebVPN-Dienstkomponente und wird durch fehlende Autorisierungsprüfungen verursacht. Durch das Senden speziell präparierter HTTP(S)-Anfragen kann ein nicht authentifizierter Remote-Angreifer auf geschützte URL-Endpunkte zugreifen, die normalerweise eine Authentifizierung erfordern würden. Diese Sicherheitslücke wurde aktiv in gezielten Kampagnen gegen Cisco-Peripheriegeräte ausgenutzt und wurde unter der Notfallrichtlinie ED 25-03 in den Katalog der bekannten ausgenutzten Schwachstellen (KEV) der CISA aufgenommen, was US-Bundesbehörden dazu verpflichtet, betroffene Systeme zu identifizieren und zu schützen.

ProduktCisco ASA
Datum29.09.2025 13:09:26
Informationen
  • Patch verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Dies ist eine Schwachstelle aufgrund fehlender Autorisierung (CWE-862) mit einem CVSS v3.1-Basiswert von 6.5 (Mittel). Der Defekt ermöglicht es einem nicht authentifizierten Remote-Angreifer, Autorisierungsprüfungen auf Cisco ASA/FTD-Geräten mit aktivierten WebVPN-Diensten zu umgehen.

Im Falle einer Ausnutzung können Angreifer unbefugten Zugriff auf sensible Endpunkte oder Funktionen erlangen, was einen Einstiegspunkt für weitere Angriffe wie Informationsabfluss oder die Ausnutzung zusätzlicher Schwachstellen für eine tiefergehende Kompromittierung bietet.

Laut Cisco und verschiedenen Sicherheitsberichten wurde diese Schwachstelle in der Praxis als Teil fortschrittlicher Bedrohungskampagnen (bekannt unter der Verbindung zu UAT4356 / Storm-1849) gegen Cisco ASA- und FTD-Geräte aktiv ausgenutzt. Angreifer kombinieren diese Schwachstelle mit anderen Zero-Day-Schwachstellen (z. B. CVE-2025-20333), um dauerhaften und verborgenen Zugriff zu erlangen.

Empfehlungen

  1. Sofortige Patch-Pflicht: Führen Sie so schnell wie möglich ein Upgrade auf die Cisco ASA/FTD-Softwareversionen durch, die den Fix für CVE-2025-20362 enthalten. Cisco hat Korrektur-Updates für alle betroffenen Zweige veröffentlicht.

  2. Exposition einschränken: Deaktivieren oder beschränken Sie den Zugriff auf VPN Web Services / WebVPN-Komponenten aus nicht vertrauenswürdigen Netzwerken, falls der Patch nicht sofort angewendet werden kann.

  3. Netzwerksegmentierung und Zugriffskontrollen: Implementieren Sie eine strikte Netzwerksegmentierung, überprüfen Sie die Zugriffsrichtlinien für Verwaltungsschnittstellen und beschränken Sie die Exposition von Verwaltungskonsolen auf interne Netzwerke.

  4. Überwachung und Threat Hunting: Überwachen Sie aktiv die WebVPN-Serverprotokolle und den Netzwerkverkehr auf verdächtige oder unbefugte Zugriffsversuche. Befolgen Sie die Richtlinien von Cisco und CISA, um mögliche Kompromittierungen zu identifizieren.

  5. Bereitschaft zur Reaktion auf Vorfälle: Falls eine Kompromittierung vermutet wird, führen Sie eine forensische Analyse des Geräts durch, rotieren Sie Anmeldeinformationen und befolgen Sie die von Cisco veröffentlichten Korrekturschritte für kompromittierte ASA/FTD-Geräte.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *