Neue Angriffswellen auf Cisco-Firewalls erschüttern die IT-Sicherheitslandschaft – gezielte Ausnutzung ungepatchter Schwachstellen trifft Unternehmen weltweit. Insbesondere sollen kritische Sicherheitslücken in der Software-Plattform Firepower Threat Defense (FTD) ausgenutzt worden sein. Welche Risiken bestehen konkret? Und wie können Organisationen sich schützen? Der folgende Artikel geht diesen Fragen auf den Grund – praxisnah, fundiert und mit Handlungsempfehlungen für die Sicherheitsverantwortlichen.
Ein Überblick: Aktuelle Schwachstellen in Cisco-Firewalls
Im Oktober 2025 veröffentlichten Sicherheitsexperten eine schwerwiegende Analyse über neu identifizierte Schwachstellen in Cisco-Sicherheitslösungen, insbesondere im Zusammenhang mit der Firepower Threat Defense (FTD) und Adaptive Security Appliance (ASA). Laut einem Advisory von Cisco (Cisco Security Advisory ID: cisco-sa-fdm-path-trav-S4P3xgG8) handelt es sich bei der prominentesten Lücke um eine Path Traversal-Schwachstelle, über die Remote-Angreifer ohne Authentifizierung Zugriff auf sensible Daten des Systems erlangen können.
Die Schwachstelle, welche als CVE-2024-20356 mit einem CVSS-Base Score von 8.6 bewertet wurde, betrifft Geräte mit aktiviertem Firepower Device Manager (FDM). Sie erlaubt es Angreifern, beliebige Dateien vom betroffenen System herunterzuladen, was zu erheblichen Datenschutzverletzungen und potenzieller Kompromittierung von Anmeldedaten führen kann.
Technische Details zu den Angriffswegen
Besonders alarmierend: Die Angriffe nutzen Schwächen in der Session-Handling- und Dateisystemstruktur von Cisco FTD aus. Der Angreifer muss dazu lediglich einen manipulierten HTTP-Request gegen die Management-Weboberfläche richten. In weiteren Berichten von Sicherheitsspezialisten – etwa von Rapid7 und Tenable – ist darüber hinaus von einer möglichen Kombination dieser Schwachstelle mit weiteren CVEs wie CVE-2024-20359 (Command Injection in ASA VPN-Modulen) die Rede. Das erlaubt unter Umständen eine vollständige Übernahme der betroffenen Geräte.
Die Angriffsmuster folgen dabei häufig bestimmten DNA-Mustern aus bekannten Bedrohungsgruppen wie APT29 und UNC3886, die bereits in der Vergangenheit Schwachstellen in Netzwerk-Hardware als Einfallstor für Spionage- und Sabotagekampagnen genutzt haben.
Wer ist betroffen – und was steht auf dem Spiel?
Aktuell sind laut Cisco mehr als 20 Plattformmodelle betroffen, darunter Firepower 1010, 1120, 2110, 2130 sowie Virtualisierungslösungen wie das Secure Firewall Threat Defense Virtual (formerly FTDv). Schätzungen zufolge sind weltweit mehr als 400.000 Geräte mit anfälligen Versionen im Einsatz (Quelle: Shodan.io, Stand Oktober 2025).
Für Unternehmen bedeutet das konkret: Unzureichend abgesicherte Firewalls stellen ein erhebliches Einfallstor für Cyberkriminelle dar. Branchenübergreifend stehen unter anderem Finanzinstitutionen, Energieversorger und öffentliche IT-Infrastrukturen im besonderen Fokus, da sie meist auf Cisco-Lösungen vertrauen.
Besonders gravierend ist dabei, dass viele Organisationen Standardkonfigurationen belassen und verfügbare Sicherheits-Updates verzögert oder gar nicht einspielen – eine Tatsache, die in vielen Incident-Response-Berichten der letzten Monate deutlich wird.
Statistiken, die alarmieren
Eine aktuelle Studie von Palo Alto Networks (Unit 42 Threat Intelligence, Q3 2025) zeigt, dass 42 % aller in den letzten 12 Monaten kompromittierten Netzwerkgeräte auf ungepatchte Sicherheitslücken in Firewalls zurückzuführen waren. Davon entfielen 28 % explizit auf Cisco-Modelle.
Zusätzlich stellte IBM X-Force in seinem Cyber Resilience Report 2025 fest, dass Angriffe auf Netzwerkinfrastruktur – insbesondere über VPNs und Firewalls – um 49 % im Vergleich zum Vorjahr angestiegen sind.
Empfohlene Schutzmaßnahmen und Best Practices
Um Risiken beim Einsatz von Cisco-Firewalls deutlich zu minimieren, empfehlen Experten eine Reihe konkreter Schritte. Grundlage dabei ist stets ein aktuelles Update-Management und eine kontinuierliche Sicherheitsüberwachung.
- Patch-Management automatisieren: Stellen Sie sicher, dass alle Cisco-Geräte stets die neuesten Firmware-Releases erhalten – inklusive temporärer Workarounds bei bekanntem Exploit-Code.
- Zugriffskontrolle verschärfen: Verhindern Sie administrativen Zugang aus dem öffentlichen Internet und nutzen Sie Multi-Faktor-Authentifizierung (MFA) für alle Management-Schnittstellen.
- Monitoring & Logging aktivieren: Überwachen Sie alle sicherheitskritischen System-Logs auf Anomalien, insbesondere Admin-Loginversuche, Dateioperationen und Konfigurationsänderungen.
Weiterhin bietet Cisco aktuelle IPS-Signaturen und Snort-Upgrades an, mit denen verdächtige Requests bereits auf Netzwerkebene gestoppt werden können. Auch Cloud-basiertes Monitoring über Cisco Secure Analytics (ehemals Stealthwatch) hilft, Angriffsvektoren schneller zu erkennen.
Rolle der Verantwortlichen in der IT-Security
Sicherheitsverantwortliche und Netzwerkadministratoren stehen mehr denn je unter Druck, ein ganzheitliches Sicherheitsmanagement umzusetzen. Zero Trust-Architekturen, segmentierte Netzwerkbereiche und kontinuierliches Threat Hunting gelten heute als unerlässlich. Der Fokus verschiebt sich zunehmend von reaktiver zu proaktiver Verteidigung. Dabei helfen auch Threat-Intelligence-Feeds, wie sie etwa Cisco Talos bereitstellt, frühzeitig neu entstehende Bedrohungen zu erkennen und gezielt Gegenmaßnahmen zu ergreifen.
Nicht zuletzt spielt die Sensibilisierung der Nutzer eine große Rolle – auch wenn es sich um eine Infrastruktur-Schwachstelle handelt. Abgefangene SSO-Credentials oder kompromittierte Tokens können ausreichen, um Angriffe in interne Systeme zu verlagern.
Fazit: Jetzt handeln – bevor es zu spät ist
Die aktuellen Angriffswellen auf Cisco-Firewalls unterstreichen einmal mehr: Perimeter-Sicherheit allein reicht nicht mehr aus. Schwachstellen in vermeintlich resistenten Geräten öffnen Cyberkriminellen Tür und Tor – oft unbemerkt. Unternehmen müssen handeln, – nicht nur über technische Maßnahmen, sondern auch über strategische Entscheidungen im Sinne der Resilienz.
Welche Maßnahmen habt ihr in eurem Unternehmen ergriffen, um eure Netzwerksicherheit auf dem neuesten Stand zu halten? Diskutiert mit uns in den Kommentaren und teilt eure Strategien mit der Community!
