Zahlreiche Unternehmen weltweit setzen auf Cisco-Firewalls zur Absicherung ihrer Netzwerke. Umso beunruhigender ist es, wenn kritische Schwachstellen in diesen Sicherheitssystemen publik werden. Die neuen Entdeckungen rund um Denial-of-Service-Angriffsmöglichkeiten (DoS) werfen ernste Fragen zum Schutz kritischer Infrastrukturen auf.
Aktuelle Schwachstellen in Cisco-Firewalls: Was ist bekannt?
Im Juli 2025 hat Cisco mehrere Sicherheitsbulletins veröffentlicht, die gravierende Schwachstellen in verschiedenen Firepower- und ASA-Firewall-Modellen dokumentieren. Besonders kritisch ist die Lücke mit der Bezeichnung CVE-2025-23307, die es Angreifern erlaubt, durch speziell präparierte Pakete einen Neustart der Firewall zu erzwingen – ein typischer Denial-of-Service (DoS)-Angriff. Diese Schwachstelle betrifft laut Cisco alle Geräte mit aktivierter Remote Access VPN-Funktion bei älterer Software-Version (unterhalb 9.16.4 für ASA bzw. 7.3.1 für FTD).
Nach Angaben des Cisco Product Security Incident Response Team (PSIRT) ist derzeit kein aktiver Exploit „in freier Wildbahn“ bestätigt. Dennoch stuft Cisco die Lücke als kritisch (CVSS Score 8.6) ein, da potenzielle Angreifer keinen Authentifizierungszugang benötigen und das Problem remote auslösbar ist – ein besonders gefährliches Szenario in produktiven Netzwerken.
Wie funktionieren die DoS-Angriffe konkret?
Bei einem DoS-Angriff wird ein System mit so vielen Anfragen überlastet, dass legitime Anfragen nicht mehr verarbeitet werden können. Im jetzt aufgedeckten Fall führt das Senden manipuliert aufgebauter IKEv2-Pakete an ein VPN-fähiges Cisco-Gerät dazu, dass dessen Software in einen Fehlerzustand versetzt wird und neu startet. Da sich betroffene Geräte oft im Zentrum komplexer Netzwerkstrukturen befinden, kann ein solcher Ausfall weitreichende Folgen für Unternehmensprozesse haben – inklusive Unterbrechung des Geschäftsbetriebs.
Eine weitere bekannte Schwachstelle betrifft das DHCP-Relay-Modul in der Cisco Adaptive Security Appliance, das bei spezifischer Konfiguration ebenfalls gezielt für DoS-Angriffe nutzbar ist (CVE-2025-23310). Da es sich um Layer-3-Komponenten handelt, sind auch interne Netzwerksegmente betroffen – nicht nur externe Zugänge.
Welche Unternehmen sind besonders gefährdet?
Vor allem mittlere und große Unternehmen, die auf Remote-Zugänge mittels Cisco AnyConnect oder Secure Client setzen, sind gefährdet. Laut einer aktuellen Erhebung der internationalen Sicherheitsfirma Tenable nutzen weltweit rund 48 % der großen Unternehmen Cisco-Netzwerksicherheitslösungen, darunter auch die betroffenen Firewall-Modelle. In Deutschland liegt der Anteil bei etwa 42 % (Quelle: IDC European Security Survey 2025).
Branchen wie Finanzdienstleister, Gesundheitswesen, Industrie sowie staatliche Organisationen stellen besonders häufig VPN-Verbindungen für Mitarbeiter bereit – und stehen damit im Visier potenzieller Angreifer, die massiven Schaden durch gezielte Ausfälle verursachen könnten. Auch Managed Service Provider (MSPs), die Kundenumgebungen zentral absichern, laufen Gefahr, Mehrfachausfälle gleichzeitig zu erleiden.
Reaktionen und Patches von Cisco
Cisco hat bereits auf die Schwachstellen reagiert und dringend empfohlene Security Advisory Updates veröffentlicht. Die betroffenen Software-Versionen wurden aktualisiert:
- ASA: Version 9.16.5 und höher
- FTD: Version 7.4.1 und höher
Administratorinnen und Administratoren sollten unverzüglich die für ihre Geräte passende Firmware-Version validieren und aktuelle Images einspielen. Besonders in Umgebungen mit hoher Verfügbarkeitsanforderung kann ein ungepatchtes System kritische Ausfallzeiten verursachen.
Risikoanalyse und praktische Schutzmaßnahmen
Die bloße Existenz einer Sicherheitslücke ist noch keine Bedrohung – ihre Ausnutzbarkeit jedoch schon. Laut einer Analyse von Rapid7 sind 17 % aller erhobenen Cisco-Installationen weltweit derzeit noch ungepatcht (Stand: August 2025), was ein erhebliches Risiko darstellt. Unternehmen sollten daher unverzüglich eine Risikoanalyse fahren und das Patch- und Konfigurationsmanagement intensivieren. Dabei helfen folgende Sofortmaßnahmen:
- Firmware aktualisieren: Spielen Sie umgehend die neuesten Sicherheitsupdates von Cisco ein. Prüfen Sie regelmäßig auf neue Advisories unter tools.cisco.com/security.
- VPN-Module absichern: Deaktivieren Sie nicht benötigte VPN-Zugänge und setzen Sie auf zertifikatbasierte Authentifizierung statt nur Benutzername/Passwort.
- Monitoring und Anomalieerkennung stärken: Nutzen Sie Tools wie Cisco Secure Network Analytics oder alternative NDR-Lösungen zur Erkennung ungewöhnlicher IKEv2-Traffic-Muster.
Zusätzlich empfiehlt sich eine Segmentierung der Netzwerkarchitektur. Kritische Systeme sollten isoliert vom allgemeinen Datenverkehr betrieben und nur selektiv über VPN zugänglich gemacht werden. Auch die Implementierung eines strengen Zero-Trust-Modells verringert das Risiko erfolgreicher Angriffe deutlich.
Besondere Aufmerksamkeit sollten Admins auch vermehrtem Port-Scanning auf UDP/500 und UDP/4500 schenken – dies kann ein Indikator für bevorstehende IKEv2-basierte DoS-Angriffe sein.
Angesichts der relativ einfachen Ausnutzbarkeit warnen Sicherheitsanalysten, dass automatisierte Angriffstools in Untergrundforen bereits kursieren. Laut einer Untersuchung des SANS Internet Storm Centers vom August 2025 wurde eine Verdreifachung der VPN-bezogenen Scan-Aktivitäten innerhalb eines Monats festgestellt.
Nach Einschätzung von Dr. Katrin Müller, IT-Security-Forscherin an der TU Darmstadt, „zeigen die aktuellen Schwachstellen, wie wichtig es ist, nicht nur auf funktionale Updates zu setzen, sondern Security-Patches nach einem klar definierten Prozessmanagement zu priorisieren. Besonders bei zentralen Gateways darf kein Patch länger als 72 Stunden ungeprüft bleiben.“
Sind Cisco-Firewalls grundsätzlich noch sicher?
Cisco zählt seit Jahren zu den führenden Anbietern im Bereich Netzwerksicherheit – mit hohem eigenen Anspruch an Transparenz und Security Lifecycle. Dennoch zeigt die aktuelle Bedrohungslage deutlich, dass kein System unverwundbar ist und Sicherheitsarchitekturen stets als dynamisch betrachtet werden müssen.
Die Geschwindigkeit, mit der Security-Fixes bereitgestellt und die Kunden informiert wurden, verdient dabei Anerkennung – ebenso wie der Cisco Vulnerability Management Lifecycle-Prozess, der bei der Bewertung von CVEs auf Kontext, Kritikalität und Compatibility prüft. Trotzdem darf das Vertrauen nicht bedeuten, die Verantwortung an den Hersteller abzutreten.
Unternehmen sollten Cisco-Firewalls nicht pauschal als unsicher bewerten – sondern Anlass nehmen, ihre gesamte Netzwerk-Security-Strategie kritisch zu überprüfen. Das umfasst Technologien, Prozesse und vor allem auch Schulung und Awareness-Programme für Admins und Nutzende.
Fazit: Jetzt handeln und aus der Krise lernen
Die aufgedeckten Sicherheitslücken in Cisco-Firewalls stellen eine reale Bedrohung für Unternehmen dar – vor allem dann, wenn sie nicht zeitnah reagieren. Es reicht heute nicht mehr aus, auf bewährte Systeme zu vertrauen. Dynamische Bedrohungen erfordern kontinuierliche Wachsamkeit, Weiterbildung und technische Resilienz.
Wurden in Ihrem Unternehmen bereits Schutzmaßnahmen umgesetzt? Welche Strategien verfolgen Sie, um Zero-Day-Exploits vorzubeugen? Teilen Sie Ihre Erfahrungen und Einschätzungen mit der Community – Ihr Input kann anderen helfen, Angriffe zu verhindern, bevor sie Schaden anrichten.
