ArcaneDoor Spionage Kampagne: Ausnutzung kritischer Cisco ASA und FTD Firewall Schwachstellen

Am 25. September 2025 schlugen drei neue CVEs im Zusammenhang mit Cisco-Netzwerkprodukten explosiv in die Cybersecurity-Landschaft ein. Zwei davon wurden bereits vor Offenlegung in Zero-Days aktiv ausgenutzt. Greenbone bietet Erkennungstests für alle drei neuen hochriskanten CVEs im OPENVAS ENTERPRISE FEED an.

CVE-2025-20333 (CVSS 9.9) und CVE-2025-20362 (CVSS 6.5) betreffen den VPN-Webserver der Plattformen Cisco Firewall Adaptive Security Appliance (ASA) und Firewall Threat Defense (FTD). Der VPN-Webserver ermöglicht entfernten Geräten Zugriff auf ein internes Netzwerk via eines SSL/TLS-basierten VPN. Diese CVEs können verkettet werden, um eine vollständige Systemübernahme ungepatchter Geräte zu ermöglichen. Berichten zufolge werden wie in ArcaneDoor-Spionagekampagnen ausgenutzt. CVE-2025-20363 (CVSS 9.0), bisher nicht als aktiv ausgenutzt gekennzeichnet, wurde in den meisten staatlichen Sicherheitswarnungen über die vorher genannten Schwachstellen mit aufgenommen. Neben CVE-2025-20362 schafft sie die nötigen Voraussetzungen zur Ausnutzung von CVE-2025-20333 für eine erweiterte Liste an Produkten: Neben Cisco ASA und FTD betrifft diese Schwachstelle Cisco IOS, IOS XE und IOS XR in bestimmten Konfigurationen.

Greenbones OPENVAS ENTERPRISE FEED beinhaltet eine Reihe an Erkennungstests für diese neuen Schwachstellen [1][2][3][4][5][6][7][8][9]. Mit unserer kostenlosen Testversion können Sie Ihre IT-Umgebung noch heute auf diese und weitere Cybersecurity-Schwachstellen scannen. Im Folgenden gehen wir auf verschiedene Aspekte der aktuellen Lage ein – darunter die Angriffskampagne, eine Beschreibung der Schwachstellen und Empfehlungen zur Risikominderung.

Kampagnen, die Cisco ASA 5500-X-Geräte ausnutzen

CVE-2025-20333 und CVE-2025-20362 wurden als Zero-Days aktiv gegen Cisco ASA 5500-X-Geräte ohne Secure Boot ausgenutzt. Verkettet ermöglichen sie die vollständige Übernahme kompromittierter Systeme durch nicht authentifizierte Angriffe. RayInitiator und LINE VIPER kamen bei bekannten Kampagnen, die diese Schwachstellen nutzen, zum Einsatz, um Persistenz zu erreichen [TA0003], Remote-Befehle auszuführen [TA0011] und Daten zu exfiltrieren [TA0010]. Die Angriffe werden der ArcaneDoor-Spionagekampagne zugeschrieben, die seit Anfang 2024 perimeternahe Netzwerkgeräte anvisiert und als hochgradig fortgeschritten eingestuft wird. Zu ihren hoch entwickelten Angriffstechniken gehören:

• Manipulation auf ROMMON-Ebene (ROM Monitor) [004] und Pre-OS Bootkit [T1542.003] für verdeckte Persistenz über Neustarts hinweg
• Abfangen der Kommandozeilenschnittstelle (CLI-Interception) [008]
• Deaktivierung der Systemprotokollierung [001]
• Netzwerk-Paketmitschnitt [T1040]
• Umgehung von AAA-Authentifizierungs- und Autorisierungsmechanismen für Netzwerkgeräte [004]

Öffentliche Proof-of-Concept-Exploits (PoCs) sind zwar nicht verfügbar, aber CISA und CISCO haben die aktive Ausnutzung bereits bestätigt [1][2]. Während Angriffe, die CVE-2025-20363 ausnutzen, noch nicht bestätigt wurden, wird die Schwachstelle dennoch in mehreren nationalen CERT-Advisories erwähnt, die die ersten beiden CVEs abdecken [3][4][5][6][7][8][9][10]. Umfassende Malware-Analysen des UK NCSC [11] und IoC-Hunt-Anleitungen von CISA [12] sind verfügbar.

Technische Analyse der neuen kritischen Cisco CVEs

Allen drei CVEs liegt die unzureichende Validierung von User-Input in HTTPS-Anfragen zugrunde [CWE-20]. In Kombination erlauben CVE-2025-20333 und CVE-2025-20362 das Ausführen von beliebigem Code als root auf dem System des Opfers. CVE-2025-20333 ermöglicht diese RCE (Remote-Code-Execution), setzt jedoch gültige VPN-Anmeldedaten voraus. CVE-2025-20362 ermöglicht eine Umgehung der Authentifizierung. CVE-2025-20363 erlaubt ebenfalls nicht authentifizierten Zugriff auf geschützte URLs, betrifft jedoch breiter aufgestellte Produkte – darunter Cisco ASA und FTD, sowie bestimmte Konfigurationen von Cisco IOS, IOS XE und IOS XR.

Kurzbeschreibung der einzelnen Schwachstellen:

• CVE-2025-20333 (CVSS 9.9): Manipulierte HTTPS-Anfragen an den VPN-Webserver können zu beliebiger Ausführung von Remote-Code (RCE) als root auf VPN-Webservern von Cisco ASA- und FTD-Geräten führen. Die Schwachstelle wird als Buffer-Overflow [CWE-122] eingestuft und benötigt gültige VPN-Zugangsdaten, um ausgenutzt zu werden.
• CVE-2025-20362 (CVSS 6.5): Nicht authentifizierte Eindringlinge können den Authentifizierungsprozess umgehen und so auf geschützte URL-Endpunkte zugreifen. Grund ist fehlende Autorisierungsprüfung [CWE-862] für sensible HTTP-Pfadendpunkte
• CVE-2025-20363 (CVSS 9.0): Nicht authentifizierte RCE als root auf dem VPN-Webserver von Cisco ASA- und FTD-Geräten. Bereits geringe Privilegien könnten zu RCE als root in Cisco IOS, Cisco IOS XE, und Cisco IOS XR führen. Bei der Schwachstelle handelt es sich um einen heap-basierten Buffer Overflow [CWE-122], ausgelöst durch unzureichende Validierung von Eingaben in HTTP-Anfragen.

Anweisungen zur Risikominderung für betroffene Geräte

Die CISA hat eine Emergency Directive zur sofortigen Behebung aller laufenden Bedrohungen für alle Bundesbehörden ausgegeben. Wer die Produkte im Einsatz hat, sollte umgehend Schritte zur Identifizierung, Analyse und Bereinigung betroffener Produkte beginnen. Für die Analyse sollten die Core-Dump- und Hunt-Anweisungen von CISA sowie Ciscos offizieller Detection Guide genutzt werden.

Wird ein Sicherheitsvorfall festgestellt, sollten kompromittierte Geräte zwar vom Netzwerk getrennt, jedoch nicht ausgeschaltet werden. Notfallpläne für Sicherheitsvorfälle (IRP, Incident Respone Plans) und Isolierungsprozesse sind augenblicklich einzuleiten. Opfer sollten umgehend zuständige regionale Behörden unterrichten und Speicherabbilder betroffener Systeme zur Analyse zur Verfügung stellen. Malware-Analysen für RayInitiator und LINE VIPER wurden von der UK NCSC [1] veröffentlicht. Konsultieren Sie Ciscos offizielle Anweisungen für genauere Informationen [2][3][4].

Betroffene Plattformen (CVE-2025-20333 und CVE-2025-20362):

ASA-Hardware, ASA-Service Module (ASA-SM), ASA Virtual (ASAv), und ASA-Firmware auf Firepower 2100/4100/9300.

Betroffene Cisco ASA-Softwareversionen:

• 12 – < 9.12.4.72
• 14 – < 9.14.4.28
• 16 – < 9.16.4.85
• 17 – < 9.17.1.45
• 18 – < 9.18.4.67
• 19 – < 9.19.1.42
• 20 – < 9.20.4.10
• 22 – < 9.22.2.14
• 23 – < 9.23.1.19

Cisco FTD-Appliances:

• 0 – < 7.0.8.1
• 1 – alle Versionen
• 2 – < 7.2.10.2
• 3 – alle Versionen
• 4 – < 7.4.2.4
• 6 – < 7.6.2.1
• 7 – < 7.7.10.1

CVE-2025-20363 betrifft die oben genannten ASA- und FTD-Produkte und alle Releases von Cisco IOS und Cisco IOS XE mit Remote Access SSL VPN und Cisco IOS XR Software-Versionen 6.8 und 6.9 (32-Bit auf ASR 9001) mit aktivem HTTP-Server.

Nicht betroffen sind:

• Cisco NX-OS Software
• 64-Bit IOS XR
• IOS/IOS XE ohne aktives SSL VPN
• ASA/FTD ohne konfigurierte WebVPN/SSL VPN-Funktion

Zusammenfassung

Die koordinierte Offenlegung von CVE-2025-20333, CVE-2025-20362 und CVE-2025-20363 hat globale Sicherheitsmaßnahmen ausgelöst. In Kombination können die CVEs potenziell zu vollständiger Systemübernahme von kompromittierten Cisco ASA- und FTD-Geräten führen. Selbiges gilt für Geräte mit Cisco IOS, IOS XE und IOS XR- unter bestimmten Konfigurationen. In einer laufenden ArcaneDoor-Spionagekampagne werden CVE-2025-20333 und CVE-2025-20362 gegen ältere ASA 5500-X-Geräte ausgenutzt.

Sicherheitsbehörden, darunter CISA und diverse nationale CERTs, haben Risikominderungsmaßnahmen bekanntgegeben, die zu sofortigem Patchen, forensischen Untersuchungen und der Aktivierung von Notfallplänen (IRP) raten.

Greenbone hat für alle drei Schwachstellen Erkennungstests im OPENVAS ENTERPRISE FEED veröffentlicht, um Organisationen dabei zu helfen, anfällige Systeme schnell zu erkennen und zu bereinigen. Starten Sie noch heute eine kostenlose Testversion, um Ihre IT-Umgebung auf diese und viele weitere Cybersecurity-Risiken zu prüfen.