Angriffe auf Zero-Day-Lücken: Cisco, Sonicwall und Asus Live Update

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

In der Nacht zum Donnerstag hat die US-amerikanische IT-Sicherheitsbehörde CISA drei Schwachstellen in den Katalog der „Known Exploited Vulnerabilities“ aufgenommen. Es handelt sich um kritische Sicherheitslücken in Ciscos Secure Email Gateway und Secure Email and Web Manager, Sonicwall SMA1000-Appliances sowie auf die Software Ausus Live Update. Angreifer attackieren die Lecks, Admins sollten jetzt bereitstehende Updates installieren.

Vor den attackierten Schwachstellen warnt die CISA in der „KEV“ abgekürzten Liste. Am gravierendsten ist die Sicherheitslücke in Ciscos Secure Email Gateway und Web Manager. Der Sicherheitsmitteilung von Cisco zufolge hat das Unternehmen bereits am 10. Dezember eine Angriffskampagne beobachtet, die auf bestimmte Ports von Ciscos AsyncOS-Software für diese Appliances zielte. Laut einer Analyse verortet Cisco die Angreifer in einer Gruppe aus dem chinesischen Umfeld. Bei den Angriffen konnten die Täter aus dem Internet beliebige Befehle mit Root-Rechten im Betriebssystem ausführen. Damit haben sich die Angreifer auch in die Geräte eingenistet. Details zur Schwachstelle selbst nennt Cisco jedoch noch nicht (CVE-2025-20393, CVSS 10.0, Risiko „kritisch“).

Software-Updates stellt Cisco nicht bereit, rät IT-Verantwortlichen mit verwundbaren Geräten – also jenen, die das Web Management Interface oder den Port für die Spam-Quarantäne im Internet exponieren – jedoch, die Konfiguration der Appliances in einen sicheren Zustand zu versetzen. Dazu gehört das Herunterladen und Installieren von virtuellen Ersatz-Appliances. Zudem finden Admins in der Analyse einige Indizien für Kompromittierung (Indicators of Compromise, IOCs). Temporäre Gegenmaßnahmen nennt Cisco nicht.

Weitere attackierte Sicherheitslücken

Zudem attackieren bösartige Akteure eine Schwachstelle in Sonicwalls SMA1000-Appliances. Die neue Sicherheitslücke erlaubt Angreifern das Ausweiten ihrer Rechte aufgrund unzureichender Authentifizierung in der SMA1000 Appliance-Management-Konsole (AMC) (CVE-2025-40602, CVSS 6.6, Risiko „mittel“). Sonicwall weist in der Sicherheitsmitteilung darauf hin, dass Angreifer die Schwachstelle mit einer kritischen Deserialisierung-Schwachstelle verknüpfen, für die bereits seit Januar aktualisierte Software zum Ausbessern bereitsteht. Die neue Sicherheitslücke schließen Aktualisierungen auf SMA1000 12.4.3-03245 sowie 12.5.0-02283 und neuere Versionen. Bis zur Installation der Updates sollten Admins die Zugriffe auf die AMC stark beschränken und etwa SSH-Zugang ausschließlich mittels VPN oder festgelegter IPs für Admins erlauben oder das SSL-VPN-Management-Interface und SSH-Zugänge aus dem Internet deaktivieren. Sonicwall weist darauf hin, dass SSL-VPN auf Sonicwall-Firewalls nicht betroffen ist.

Die dritte Sicherheitslücke, auf die bösartige Akteure es abgesehen haben, betrifft eine alte Asus-Software zum Aktualisieren von Hersteller-Software auf PCs und Notebooks, das Asus Live Update. Im Jahr 2019 konnten staatliche Cyberkriminelle die Live-Update-Server unterwandern und kompromittierte Software – damals auf bestimmte Ziele beschränkt – verteilen, wie Asus damals in einer Warnung schrieb. „Die modifizierten Builds können Geräte eigentlich nicht beabsichtigte Aktionen ausführen lassen, wenn sie bestimmte Bedingungen erfüllen“, schreibt Asus in der Schwachstellenbeschreibung (CVE-2025-59374, CVSS 9.3, Risiko „kritisch“). Nur Geräte, die diese Randbedingungen erfüllen und auf denen die kompromittierte Software installiert wurde, sind betroffen. Die App wird seit Oktober 2021 nicht mehr länger unterstützt, was bedeutet, dass kein aktuelles Asus-Gerät, das noch Support erhält, anfällig ist, schränkt das Unternehmen weiter ein.

Details zu den Angriffen und der Reichweite nennen Cisa und die Hersteller bis auf Cisco nicht. Admins sollten ihre Systeme prüfen und nach Vorgaben der Hersteller absichern.

(dmk)