Kritische Schwachstelle in Cisco Secure Firewall entdeckt

Cisco warnt vor einer gravierenden Sicherheitslücke in seiner Secure Firewall Management Center-Software. Die als CVE-2025-20265 registrierte Schwachstelle ermöglicht es Angreifern ohne vorherige Authentifizierung, Remote-Shell-Befehle mit Administratorrechten auszuführen.

Die Lücke erhielt den Höchstwert von 10,0 im CVSS-Bewertungssystem und betrifft insbesondere Installationen, bei denen die Firewall-Management-Schnittstellen über die RADIUS-Authentifizierung abgesichert sind. Unternehmen, die diese Konfiguration nutzen, gelten als besonders gefährdet.

Eine Schwachstelle in der Implementierung des RADIUS-Subsystems der Cisco Secure Firewall Management Center (FMC)-Software könnte es einem nicht authentifizierten Angreifer ermöglichen, beliebige Shell-Befehle einzuschleusen, die vom Gerät ausgeführt werden.

Diese Sicherheitslücke ist auf eine unsachgemäße Verarbeitung von Benutzereingaben während der Authentifizierungsphase zurückzuführen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er bei der Eingabe von Anmeldedaten, die auf dem konfigurierten RADIUS-Server authentifiziert werden, manipulierte Eingaben sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, Befehle mit hohen Rechten auszuführen.

Hinweis: Damit diese Sicherheitslücke ausgenutzt werden kann, muss die Cisco Secure FMC-Software für die RADIUS-Authentifizierung für die webbasierte Verwaltungsschnittstelle, die SSH-Verwaltung oder beides konfiguriert sein.

Cisco hat Software-Updates veröffentlicht, die diese Sicherheitslücke beheben. Es gibt keine Workarounds für diese Sicherheitslücke.

Dieser Hinweis ist unter folgendem Link verfügbar:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79

Dieser Hinweis ist Teil der im August 2025 veröffentlichten gebündelten Sicherheitshinweise für die Software Cisco Secure Firewall ASA, Secure FMC und Secure FTD. Eine vollständige Liste der Hinweise und Links zu diesen finden Sie unter Cisco Event Response: Halbjährliche gebündelte Sicherheitshinweise für die Software Cisco Secure Firewall ASA, Secure FMC und Secure FTD vom August 2025.

Betroffene Produkte

Diese Sicherheitslücke betrifft nur Cisco Secure FMC-Softwareversionen 7.0.7 und 7.7.0, wenn die RADIUS-Authentifizierung aktiviert ist. Anweisungen zum Überprüfen, ob RADIUS konfiguriert ist, finden Sie im Abschnitt „Add a RADIUS External Authentication Object for Management Center“ (Externes RADIUS-Authentifizierungsobjekt für Management Center hinzufügen) des Cisco Secure Firewall Management Center Administration Guide (Cisco Secure Firewall Management Center-Administrationshandbuch).

Informationen dazu, welche Cisco-Softwareversionen anfällig sind, finden Sie im Abschnitt „Behobene Software“ dieses Hinweises.

Produkte, die nachweislich nicht anfällig sind

Nur die im Abschnitt „Anfällige Produkte“ dieses Hinweises aufgeführten Produkte sind bekanntermaßen von dieser Sicherheitslücke betroffen.

Cisco hat bestätigt, dass diese Sicherheitslücke keine Auswirkungen auf die Cisco Secure Firewall Adaptive Security Appliance (ASA)-Software oder die Cisco Secure Firewall Threat Defense (FTD)-Software hat.

Behobene Software

• 1. Wählen Sie aus, welche Hinweise das Tool suchen soll: alle Hinweise, nur Hinweise mit einer kritischen oder hohen Sicherheitsbewertung (SIR) oder nur diesen Hinweis.
  2. Wählen Sie die entsprechende Software aus.
  3. Wählen Sie die entsprechende Plattform aus.
  4. Geben Sie eine Versionsnummer ein, z. B. 9.16.2.11 für Cisco Secure Firewall ASA-Software oder 6.6.7 für Cisco Secure FTD-Software.
  5. Klicken Sie auf Überprüfen.

Cisco hat kostenlose Software-Updates veröffentlicht, die die in diesem Hinweis beschriebene Sicherheitslücke beheben. Kunden mit Serviceverträgen, die sie zu regelmäßigen Software-Updates berechtigen, sollten Sicherheitsupdates über ihre üblichen Update-Kanäle beziehen.

Kunden dürfen nur Softwareversionen und Funktionen installieren und Support dafür erwarten, für die sie eine Lizenz erworben haben. Durch die Installation, das Herunterladen, den Zugriff oder die anderweitige Nutzung solcher Software-Upgrades erklären sich die Kunden mit den Bedingungen der Cisco-Softwarelizenz einverstanden:

https://www.cisco.com/c/en/us/products/end-user-license-agreement.html

Darüber hinaus dürfen Kunden nur Software herunterladen, für die sie eine gültige Lizenz besitzen, die sie direkt von Cisco oder über einen von Cisco autorisierten Händler oder Partner erworben haben. In den meisten Fällen handelt es sich dabei um Wartungsupgrades für zuvor erworbene Software. Kostenlose Sicherheitssoftware-Updates berechtigen Kunden nicht zu einer neuen Softwarelizenz, zusätzlichen Softwarefunktionen oder größeren Versions-Upgrades.

Auf der Cisco Support- und Download-Seite auf Cisco.com finden Sie Informationen zu Lizenzen und Downloads. Auf dieser Seite wird auch der Supportumfang für Kundengeräte angezeigt, wenn Sie das Tool „Meine Geräte“ verwenden.

Wenn Sie Software-Upgrades in Betracht ziehen, sollten Sie regelmäßig die Hinweise zu Cisco-Produkten auf der Cisco Security Advisories-Seite lesen, um Risiken zu ermitteln und eine vollständige Upgrade-Lösung zu finden.

In jedem Fall sollten Kunden sicherstellen, dass die zu aktualisierenden Geräte über ausreichend Speicherplatz verfügen und dass die aktuellen Hardware- und Softwarekonfigurationen auch mit der neuen Version weiterhin ordnungsgemäß unterstützt werden. Bei Unklarheiten wenden Sie sich bitte an das Cisco Technical Assistance Center (TAC) oder Ihren Wartungsdienstleister.

Kunden ohne Serviceverträge

Kunden, die direkt bei Cisco kaufen, aber keinen Cisco-Servicevertrag haben, sowie Kunden, die über Drittanbieter kaufen, aber über deren Verkaufsstelle keine feste Software erhalten, sollten Upgrades über das Cisco TAC anfordern: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Entdecken Sie mehr

---