CISA verschärft Maßnahmen: Neue Vorgaben für Cisco ASA- und Firepower-Sicherheitslücken

Hintergrund: Kritische Schwachstellen in Cisco-Geräten + Am 25. September veröffentlichte die CISA die Notfallrichtlinie 25-03: Identifizierung und Minderung potenzieller Sicherheitsrisiken bei Cisco-Geräten. (siehe auch: ED 25-03: Identifizieren und mindern Sie potenzielle Sicherheitsrisiken für Cisco-Geräte)

Im Fokus stehen zwei schwerwiegende Schwachstellen:

• CVE-2025-20333 – ermöglicht Remote-Code-Ausführung

• CVE-2025-20362 – ermöglicht Privilegienausweitung

Diese Sicherheitslücken stellen nach Einschätzung der CISA ein inakzeptables Risiko für die Informationssysteme der US-Bundesregierung dar. Behörden müssen die in der Richtlinie definierten Maßnahmen unverzüglich umsetzen, um Kompromittierungen zu verhindern.

Analyse zeigt fehlerhafte Patches

Bei der Auswertung der von Behörden eingereichten Daten stellte die CISA fest, dass einige Geräte zwar als „gepatcht“ markiert waren, tatsächlich aber weiterhin verwundbare Softwareversionen ausführten.

Die Behörde beobachtet derzeit die aktive Ausnutzung dieser Versionen innerhalb von FCEB-Behörden (Federal Civilian Executive Branch).

Für ASA- oder Firepower-Systeme, die nach dem 26. September 2025 aktualisiert wurden oder noch nicht auf die erforderlichen Versionen gebracht wurden, empfiehlt die CISA zusätzliche Schutzmaßnahmen, um laufende Angriffe zu verhindern.

Pflichtupdate: Betroffene Versionen und empfohlene Patches

Die CISA fordert, alle ASA- und Firepower-Geräte, einschließlich nicht öffentlicher Systeme, umgehend auf den neuesten Stand zu bringen.
Besonders betroffen sind die Softwaretrains 9.12 und 9.14.

Korrigierte Versionen:

• Cisco Secure ASA 9.12 → 9.12.4.72

• Cisco Secure ASA 9.14 → 9.14.4.28

Diese Versionen sind nicht über den Cisco Software Checker verfügbar, können jedoch über die Cisco Special Release Downloads bezogen werden.
Für alle Geräte mit den Softwareversionen 9.12 oder 9.14 empfiehlt die CISA ein Upgrade auf 9.16.4.85, sofern technische Einschränkungen dies zulassen.

Betroffene Geräte und Supportstatus

CISA fordert sofortige Umsetzung innerhalb von 48 Stunden

Gemäß der Emergency Directive 25-03 sind alle Bundesbehörden verpflichtet, innerhalb von 48 Stunden nach Veröffentlichung der Richtlinie auf die neuesten Patches zu aktualisieren.
Für öffentlich zugängliche ASA-Geräte gilt zusätzlich:

1. Durchführung der CISA-Anweisungen zu Core Dump & Hunt (Teile 1–3)

2. Einreichung von Core Dumps über das Malware Next Gen-Portal

3. Unverzügliche Patch-Installation

Sofortiges Handeln ist entscheidend

Die Aktualisierung des CISA-Leitfadens unterstreicht den Ernst der Lage: Angreifer nutzen bekannte Cisco-Schwachstellen weiterhin aktiv aus.
Organisationen – nicht nur Behörden – sollten die Gelegenheit nutzen, ihre ASA- und Firepower-Systeme auf den neuesten Stand zu bringen, um Angriffe zu verhindern und Compliance-Vorgaben einzuhalten.

Das sollten Sie sich ansehen:

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon