ISGroup Cybersicherheitsberatung

CVE-2025-20333: Schwachstelle zur Remotecodeausführung in Cisco ASA/FTD VPN-Webdiensten

CVE-2025-20333 betrifft Cisco Adaptive Security Appliance (ASA) Software und Firepower Threat Defense (FTD) Software, bei denen VPN-Webserver-Dienste (WebVPN) aktiviert sind. Die Schwachstelle befindet sich in der WebVPN-Dienstekomponente und ist auf eine unzureichende Validierung der vom Benutzer bereitgestellten Eingaben zurückzuführen. Die Ausnutzung erfordert gültige VPN-Anmeldeinformationen, ermöglicht es einem Angreifer jedoch nach erfolgreicher Ausnutzung, Remote-Code-Ausführung mit Root-Privilegien auf dem Zielgerät zu erlangen.
Diese Sicherheitslücke wurde aktiv in koordinierten Bedrohungskampagnen (in Verbindung mit UAT4356 / Storm-1849) gegen Cisco-Peripheriegeräte ausgenutzt. Die CISA hat CVE-2025-20333 im Rahmen der Emergency Directive ED 25-03 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen und fordert US-Bundesbehörden dazu auf, anfällige Systeme zu identifizieren, zu entschärfen und zu korrigieren.

ProduktCisco ASA
Datum29.09.2025 15:02:10
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Dies ist eine Buffer-Overflow-Schwachstelle (CWE-120) mit einem CVSS v3.1-Basiswert von 9,9 (Kritisch). Die Sicherheitslücke resultiert aus einer unzureichenden Überprüfung der Grenzen im Codepfad der VPN-Webdienste.

  • Angriffsvoraussetzungen: Die Ausnutzung erfordert, dass ein Angreifer die anfällige WebVPN-Komponente erreichen und den anfälligen Eingabepfad aufrufen kann. Für eine direkte Ausnutzung sind in der Regel gültige VPN-Anmeldeinformationen erforderlich.
  • Auswirkung: Eine erfolgreiche Ausnutzung ermöglicht die willkürliche Ausführung von Code mit Root-Privilegien, was eine vollständige Kompromittierung des Geräts ermöglicht (Persistenz, Diebstahl von Anmeldeinformationen, Protokollmanipulation, laterale Bewegung).
  • Beobachtetes Verhalten: CVE-2025-20333 wurde in realen Umgebungen aktiv ausgenutzt. Sie wurde auch in Verkettung mit CVE-2025-20362 (einer Schwachstelle aufgrund fehlender Autorisierung) beobachtet, was es Angreifern in einigen Kampagnen ermöglichte, von einem nicht authentifizierten Zugriff zur RCE überzugehen.

Diese Schwachstelle stellt ein schwerwiegendes Risiko für ASA/FTD-Geräte dar, die mit aktiviertem WebVPN mit dem Internet verbunden sind.

Empfehlungen

  1. Sofortige Anwendung von Patches: Führen Sie unverzüglich ein Upgrade auf die Cisco ASA/FTD-Softwareversionen durch, die CVE-2025-20333 beheben. Cisco hat Patches für alle unterstützten Produktlinien veröffentlicht.
  2. Einschränkung der VPN-Webdienste: Deaktivieren oder beschränken Sie VPN-Webserver-Dienste / WebVPN für nicht vertrauenswürdige Netzwerke, bis die Patches angewendet wurden.
  3. Forensische Analyse und Threat Hunting: Befolgen Sie die von Cisco und CISA veröffentlichten forensischen Richtlinien. Sammeln Sie Crash-Dumps, untersuchen Sie das System auf Malware-Implantate und überprüfen Sie Protokolle auf Anomalien oder ungewöhnliche Persistenzmechanismen.
  4. Rotation von Anmeldeinformationen und Zertifikaten: Wenn ein Missbrauch vermutet wird, setzen Sie das Gerät nach dem Patchen auf die Werkseinstellungen zurück, ändern Sie alle VPN-Benutzeranmeldeinformationen und stellen Sie Zertifikate und Schlüssel neu aus.
  5. Netzwerkhärtung: Begrenzen Sie die Exposition von Verwaltungsschnittstellen, wenden Sie Segmentierungskontrollen an und stellen Sie sicher, dass nur vertrauenswürdige IPs auf administrative Endpunkte zugreifen können.
  6. Vorbereitung auf die Reaktion auf Vorfälle: Seien Sie auf eine mögliche Kompromittierung auf Firmware-Ebene vorbereitet. Trennen Sie das Gerät bei bestätigter Kompromittierung vom Netzwerk, sichern Sie Beweise und befolgen Sie die Protokolle zur Reaktion auf Sicherheitsvorfälle.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *