Cisco berichtet von zwei aktiv ausgenutzten Schwachstellen in ASA- und FTD-Firewalls, worauf die US-Behörde
CISA wenige Stunden später umgehende Updates verlangte. Wie "
Bleeping Computer" berichtet, ermöglicht die erste Lücke (
CVE-2025-20333) authentifizierten Angreifern das Ausführen von Code aus der Ferne, die zweite (
CVE-2025-20362) öffnet ohne Anmeldung den Zugriff auf eigentlich geschützte Web-Endpunkte. Betroffen sind die Firewall-Produkte ASA (Adaptive Security Appliance) und FTD (Firepower Threat Defense).
Wenige Stunden später zog CISA nach und erliess die Emergency Directive 25-03. Nach Angaben der Behörde müssen US-Bundesbehörden alle ASA- und Firepower-Geräte sofort erfassen, kompromittierte Systeme isolieren und ungepatchte Geräte aktualisieren. CISA warnt vor einer breit angelegten Kampagne, die auf nicht authentifizierte Remotecodeausführung und hartnäckige Persistenz zielt – bis hin zu Manipulationen des Startsystems (Rommon).
Weitere Details liefern nationale Stellen, auf die sich "
Bleeping Computer" bezieht: Das britische NCSC sieht Angriffe auf 5500-X-Modelle ohne Secure Boot und nennt Malware wie "Line Viper" (User-Mode) und das Bootkit "RayInitiator", die Neustarts und Firmware-Updates überstehen.
Cisco ordnet die aktuellen Vorfälle zudem der länger laufenden Kampagne "ArcaneDoor" zu, in der seit 2023 weitere ASA/FTD-Zero-Days missbraucht wurden.
Zusätzlich patchte Cisco eine dritte kritische Lücke (
CVE-2025-20363) in ASA/FTD und IOS. Laut Hersteller gibt es hierfür bisher keine bestätigte Ausnutzung.
(dow)
