Eine neu entdeckte Sicherheitslücke in Ciscos AnyConnect VPN-Software gefährdet Geräte der Meraki MX- und Z-Serie. Die Schwachstelle erlaubt es Angreifern, durch einfache Denial-of-Service-Angriffe (DoS) den Fernzugriff auf Unternehmensnetzwerke lahmzulegen – und das ohne vorherige Authentifizierung.
Betroffen sind Konfigurationen mit Client-Zertifikatsauthentifizierung. Die Sicherheitslücke trägt die Kennung CVE-2025-20271 und wurde mit einem CVSS-Score von 8,6 eingestuft – ein Hinweis auf die hohe Kritikalität für Unternehmen, die Cisco Meraki-Gateways für den sicheren Remote-Zugang einsetzen.
Cisco hat bislang keine konkreten Hinweise darauf veröffentlicht, ob die Lücke bereits aktiv ausgenutzt wird. Unternehmen wird jedoch geraten, ihre Systeme zeitnah abzusichern.
Eine Schwachstelle im Cisco AnyConnect VPN-Server von Cisco Meraki MX- und Cisco Meraki Z-Serie Teleworker Gateway-Geräten könnte es einem nicht authentifizierten, entfernten Angreifer ermöglichen, einen Denial-of-Service (DoS) im Cisco AnyConnect-Dienst auf einem betroffenen Gerät zu verursachen.
Diese Schwachstelle ist auf Fehler bei der Initialisierung von Variablen beim Aufbau einer SSL-VPN-Sitzung zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Folge von manipulierten HTTPS-Anfragen an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, einen Neustart des Cisco AnyConnect VPN-Servers zu verursachen, was zum Ausfall aller bestehenden SSL-VPN-Sitzungen führen und Remote-Benutzer dazu zwingen würde, eine neue VPN-Verbindung herzustellen und sich erneut zu authentifizieren. Ein anhaltender Angriff könnte die Herstellung neuer SSL-VPN-Verbindungen verhindern und den Cisco AnyConnect VPN-Dienst für alle legitimen Benutzer effektiv unzugänglich machen.
Cisco hat Software-Updates veröffentlicht, die diese Sicherheitslücke beheben. Es gibt keine Workarounds, die diese Sicherheitslücke beheben.
Betroffene Produkte
Anfällige Produkte
Diese Sicherheitslücke betrifft die folgenden Cisco Meraki-Produkte, wenn sie eine anfällige Version der Cisco Meraki MX-Firmware ausführen und Cisco AnyConnect VPN mit Client-Zertifikatsauthentifizierung aktiviert ist:
- MX64
- MX64W
- MX65
- MX65W
- MX67
- MX67C
- MX67W
- MX68
- MX68CW
- MX68W
- MX75
- MX84
- MX85
- MX95
- MX100
- MX105
- MX250
- MX400
- MX450
- MX600
- vMX
- Z3
- Z3C
- Z4
- Z4C
Hinweis: Cisco AnyConnect VPN wird auf Cisco Meraki MX- und Cisco Meraki Z-Geräten unterstützt, auf denen Cisco Meraki MX-Firmware-Versionen 16.2 und höher ausgeführt werden, mit Ausnahme von Cisco Meraki MX64 und MX65, die Cisco AnyConnect VPN nur unterstützen, wenn sie Cisco Meraki MX-Firmware-Versionen 17.6 und höher ausführen.
Informationen dazu, welche Cisco-Softwareversionen anfällig sind, finden Sie im Abschnitt „Behobene Software“ dieses Hinweises.
Bestimmen Sie die Gerätekonfiguration
Um festzustellen, ob Cisco AnyConnect VPN mit Client-Zertifikatsauthentifizierung auf einem Cisco Meraki MX- oder Cisco Meraki Z-Gerät aktiviert ist, führen Sie die folgenden Schritte aus:
- Melden Sie sich beim Dashboard an.
- Der zweite Schritt unterscheidet sich je nach Plattform und Lizenzstufe geringfügig.
- Wählen Sie für Cisco Meraki MX-Geräte in der kombinierten Ansicht „Sicherheit und SD-WAN > Konfigurieren > Client-VPN“.
- Wählen Sie für Cisco Meraki Z-Geräte in der kombinierten Ansicht „Teleworker Gateway > Configure > Client VPN“ (Telearbeiter-Gateway > Konfigurieren > Client-VPN).
- Wählen Sie die Registerkarte „AnyConnect Settings“ (AnyConnect-Einstellungen).
- Wenn das Optionsfeld „Enabled“ (Aktiviert) ausgewählt ist, ist das Gerät für die Unterstützung von Cisco AnyConnect VPN konfiguriert und möglicherweise von der in diesem Hinweis beschriebenen Sicherheitslücke betroffen. Fahren Sie mit Schritt 4 fort.
- Wenn die Registerkarte „Cisco AnyConnect-Einstellungen“ nicht angezeigt wird oder das Optionsfeld „Deaktiviert“ ausgewählt ist, ist das Gerät von dieser Sicherheitslücke nicht betroffen.
- Scrollen Sie nach unten zum Abschnitt „Authentifizierung und Richtlinie“.
- Wenn „Zertifikatsauthentifizierung“ auf „Aktiviert“ gesetzt ist, ist die Client-Zertifikatsauthentifizierung aktiviert und das Gerät ist von dieser Sicherheitslücke betroffen.
- Wenn sie auf „Deaktiviert“ gesetzt ist, ist das Gerät von dieser Sicherheitslücke nicht betroffen.
Weitere
Cisco Meraki MX- und Cisco Meraki Z-Geräte unterstützen die folgenden zwei VPN-Dienste für den Remote-Netzwerkzugriff:
- Client-VPN, das Layer 2 Tunneling Protocol (L2TP) oder IPsec-Tunneling-Protokolle verwendet
- Cisco AnyConnect VPN, das TLS- und Datagram TLS (DTLS)-Protokolle verwendet und allgemein als SSL-VPN bezeichnet wird
Auf Geräten der Cisco Meraki MX- und Cisco Meraki Z-Serie können die Dienste Client VPN (L2TP/IPsec) und Cisco AnyConnect VPN (SSL) gleichzeitig aktiviert sein.
Hinweis: Diese Sicherheitslücke besteht beim Aufbau von SSL-VPN-Sitzungen und betrifft daher nur Geräte, die mit Cisco AnyConnect VPN konfiguriert sind. Geräte, die so konfiguriert sind, dass sie den Remote-Netzwerkzugriff ausschließlich über Client VPN (L2TP/IPsec) bereitstellen, sind von dieser Sicherheitslücke nicht betroffen.
Produkte, die nachweislich nicht anfällig sind
Nur die im Abschnitt „Anfällige Produkte“ dieses Hinweises aufgeführten Produkte sind bekanntermaßen von dieser Sicherheitslücke betroffen.
Cisco hat bestätigt, dass die folgenden Cisco-Produkte nicht von dieser Sicherheitslücke betroffen sind:
- Adaptive Security Appliance (ASA)-Software
- Firepower Threat Defense (FTD)-Software
- IOS-Software
- IOS XE-Software
- Meraki Z1
Behobene Software
Cisco Meraki hat kostenlose Software-Updates veröffentlicht, die die in diesem Hinweis beschriebene Sicherheitslücke beheben. Cisco Meraki empfiehlt Kunden, auf eine aktualisierte Version zu aktualisieren.
Kunden dürfen nur Softwareversionen und Funktionen installieren und Support dafür erwarten, für die sie eine Lizenz erworben haben. Durch die Installation, den Download, den Zugriff oder die anderweitige Nutzung solcher Software-Upgrades erklären sich die Kunden mit den Bedingungen der Cisco-Endbenutzerlizenzvereinbarung und den geltenden produktspezifischen Bedingungen einverstanden:
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
Darüber hinaus dürfen Kunden nur Software herunterladen, für die sie eine gültige Lizenz besitzen, die sie direkt von Cisco Meraki oder über einen von Cisco Meraki autorisierten Händler oder Partner erworben haben. In den meisten Fällen handelt es sich dabei um ein Wartungs-Upgrade für zuvor erworbene Software. Kostenlose Sicherheits-Software-Updates berechtigen Kunden nicht zu einer neuen Softwarelizenz, zusätzlichen Software-Funktionen oder größeren Versions-Upgrades.
Kunden wird empfohlen, regelmäßig die Hinweise zu Cisco Meraki-Produkten zu lesen, die auf der Seite „Cisco Security Advisories“ verfügbar sind, um das Risiko zu ermitteln und eine vollständige Upgrade-Lösung zu finden.
In allen Fällen sollten Kunden sicherstellen, dass die zu aktualisierenden Geräte über ausreichend Speicherplatz verfügen und dass die aktuellen Hardware- und Softwarekonfigurationen auch mit der neuen Version weiterhin ordnungsgemäß unterstützt werden. Cisco Meraki empfiehlt die Verwendung von Best Practices für Firmware für Firmware-Updates. Bei Unklarheiten wenden Sie sich bitte an den Cisco Meraki-Support.
Behobene Versionen
Zum Zeitpunkt der Veröffentlichung waren die Versionsinformationen in der folgenden Tabelle korrekt. Cisco Meraki wird diesen Hinweis bei Bedarf aktualisieren.
In der folgenden Tabelle sind in der linken Spalte die Cisco Meraki-Firmware-Versionen aufgeführt. In der rechten Spalte ist angegeben, ob eine Version von der in diesem Hinweis beschriebenen Sicherheitslücke betroffen ist und welche Version als erste den Fix für diese Sicherheitslücke enthält. Kunden wird empfohlen, ein Upgrade auf eine geeignete behobene Softwareversion durchzuführen, wie in diesem Abschnitt angegeben.
| Cisco Meraki MX Firmware Release | First Fixed Release |
|---|---|
| Earlier than 16.2 | Not affected. |
| 16.2 | Migrate to a fixed release. |
| 17 | Migrate to a fixed release. |
| 18.1xx | 18.107.13 |
| 18.2xx | 18.211.6 |
| 19.1 | 19.1.8 |
Hinweise
Das Cisco Product Security Incident Response Team (PSIRT) überprüft nur die in diesem Hinweis dokumentierten Informationen zu betroffenen und behobenen Versionen.
Ausnutzung und öffentliche Bekanntmachungen
Dem Cisco PSIRT sind keine öffentlichen Bekanntmachungen oder böswilligen Verwendungen der in diesem Hinweis beschriebenen Sicherheitslücke bekannt.
Quelle
Diese Sicherheitslücke wurde bei der Behebung eines Cisco Meraki-Supportfalls entdeckt.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Unsicherer Systemstart: Sicherheitslücke in initramfs erlaubt Umgehung von Linux-Bootschutz
SAP Patch Day: Juli 2025
Zweifelhafte Datensätze im Dark Web: Warum Combolists und ULP-Dateien oft keine verlässlichen Hinweise auf Sicherheitsvorfälle liefern
Ransomware-Gruppe BERT attackiert Unternehmen in Asien und Europa auf breiter Front
Streamen Sie Red Sift-Telemetriedaten an Sentinel, Splunk und mehr mit Event Hub
Studien
WatchGuard Internet Security Report: Einzigartige Malware steigt um 171 Prozent – KI-Boom treibt Bedrohungen voran
Zwei Drittel der EU-Institutionen erfüllen grundlegende Cybersicherheitsstandards nicht
Splunk-Studie: Datenflut bedroht Sicherheit und bremst KI – Deutsche Unternehmen im Spannungsfeld von Informationsexplosion und Compliance
Neue CSC-Umfrage: Überwältigende Mehrheit der CISOs rechnet in den nächsten drei Jahren mit einem Anstieg der Cyberangriffe
Accenture-Studie: Unternehmen weltweit kaum gegen KI-basierte Cyberangriffe gewappnet
Whitepaper
ISACA veröffentlicht Leitfaden zu NIS2 und DORA: Orientierungshilfe für Europas Unternehmen
CISA und US-Partner warnen kritische Infrastrukturen vor möglichen Cyberangriffen aus dem Iran
Dating-Apps: Intime Einblicke mit Folgen
Europol-Bericht warnt vor KI-Vorurteilen in der Strafverfolgung – Leitfaden für verantwortungsvollen Technologieeinsatz veröffentlicht
