Update: Cisco-Firewalls mit persistenter Malware infiziert

Die Warnmeldung wurde am 24. April 2026 aufgrund weiterführender Informationen aktualisiert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 26. September 2025 einen BSI-IT-Sicherheitshinweis zu den folgenden drei Schwachstellen in Cisco ASA, Cisco FTD und Cisco IOS-Varianten:

• CVE-2025-20333 mit einem CVSS-Score von 9.9/10 ermöglicht Angreifenden, die an valide VPN-Nutzer-Zugangsdaten gelangen, Remote Code Execution (RCE) und eine vollständige Systemkompromittierung.
• CVE-2025-20362 mit einem CVSS-Score von 6.5/10 ermöglicht Angreifenden, auf geschützte Endpunkte zuzugreifen.
• CVE-2025-20363 mit einem CVSS-Score von 9.0/10 ermöglicht Angreifenden unter bestimmten Voraussetzungen RCE.

Die folgenden Produkte sind von den Sicherheitslücken betroffen:

• Von CVE-2025-20333: Cisco ASA Software und Cisco FTD mit bestimmten Konfigurationen
• Von CVE-2025-20362: Cisco ASA Software und Cisco FTD mit bestimmten Konfigurationen
• Von CVE-2025-20363:
  • Cisco ASA Software und Cisco FTD Software, sofern mindestens eine der im Advisory verlinkten Konfigurationen zutrifft.
  • IOS Software, sofern SSL-VPN aktiviert ist.
  • IOS XE Software, sofern SSL-VPN aktiviert ist.
  • IOS XR Software (32-bit), sofern auf einem Cisco ASR 9001 Router mit aktiviertem HTTP-Server betrieben.

Laut Cisco wurden CVE-2025-20333 und CVE-2025-20362 schon ausgenutzt und Systeme so mit der persistenten Schadsoftware RayInitiator und der Malware LINE VIPER infiziert.

Das BSI stellt in seinem unten verlinkten Sicherheitshinweis weitere Details und Mitigationsmaßnahmen zur Verfügung. Außerdem enthält der Hinweis Links zu Updates, den Cisco-Warnmeldungen und von Cisco bereitgestellten Kompromittierungsindikatoren (Indicators of Compromise: IoCs).

In einem Update des BSI-IT-Sicherheitshinweises vom 24. April 2026 warnt das BSI eindringlich vor einem bislang unbekannten Mechanismus im Cisco Firepower eXtensible Operating System (FXOS) für Cisco Secure Firewall ASA und Cisco Secure FTD. In diesem Zusammenhang wurde die Backdoor FIRESTARTER auf befallenen Geräten installiert und die Angriffe wurden fortgesetzt, obwohl ein im September 2025 veröffentlichter Patch die Lücken geschlossen haben sollte. Aufgrund dieser Persistenzen empfehlen Cisco und das BSI dringend, dass Nutzende die folgenden Produkte trotz installierten Patches erneut prüfen:

• Firepower 1000 Series
• Firepower 2100 Series
• Firepower 4100 Series
• Firepower 9300 Series
• Secure Firewall 1200 Series
• Secure Firewall 3100 Series
• Secure Firewall 4200 Series

Darüber hinaus werden laut BSI in Deutschland weiterhin 700 ungepatchte Instanzen betrieben, die über die beschriebenen Schwachstellen infiltriert werden können.

Cisco stellt neue IoCs bereit. Bei hierdurch festgestellter Kompromittierung sollten Betroffene ihre Systeme sofort neu aufsetzen. Hierzu stellt Cisco Handlungsempfehlungen zur Verfügung. Diese und andere weiterführende Artikel finden Sie im unten verlinkten BSI-IT-Sicherheitshinweis verlinkt.

• Installieren Sie umgehend alle von Cisco bereitgestellten Updates, um die Lücken in Ihrer verwendeten Software zu schließen.
• Befolgen Sie die Mitigationsmaßnahmen des BSI und von Cisco. Diese finden Sie im unten verlinkten BSI-IT-Sicherheitshinweis.
• Prüfen Sie Ihre Systeme mithilfe der von Cisco bereitgestellten IoCs. Die Verweise hierzu finden Sie ebenfalls im unten verlinkten BSI-IT-Sicherheitshinweis.
• Beachten Sie die im aktualisierten BSI-IT-Sicherheitshinweis angegebenen und verlinkten IoCs, Mitigationsmaßnahmen und Handlungsempfehlungen.