Derzeit nutzen unbekannte Angreifer zwei Sicherheitslücken in Cisco Secure Firewall Adaptive Security Appliance (ASA) Software und Cisco Secure Firewall Threat Defense (FTD) Software aus. Darüber verschaffen sie sich Zugriff auf eigentlich geschützte Bereiche oder führen sogar Schadcode aus. Sicherheitsupdates sind verfügbar.

In welchem Umfang die Attacken ablaufen, ist zurzeit unklar. Um passende Patches zu finden, müssen Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen bestimmte Rahmenbedingungen in Formularfelder eingeben, sodass als Ergebnis das jeweils passende Update angezeigt wird.

Root-Attacken

Die beiden ausgenutzten Schwachstellen (CVE-2025-20333 „kritisch„, CVE-2025-20362 „mittel„) betreffen die VPN-Web-Server-Komponente von ASA und FTD. In beiden Fällen sind Attacken aus der Ferne möglich, zum Ausnutzen der kritischen Lücke müssen Angreifer aber bereits authentifiziert sein.

Verfügt ein Angreifer über gültige VPN-Zugangsdaten, kann er präparierte HTTP(S)-Anfragen an verwundbare Instanzen schicken. Im Anschluss ist die Ausführung von Schadcode mit Root-Rechten möglich. Das führt in der Regel zu einer vollständigen Kompromittierung von Systemen.

Im Fall der anderen attackierten Lücke ist keine Authentifizierung vonnöten, und Angreifer können über einen identischen Angriffsweg auf eigentlich abgeschottete URL-Endpoints zugreifen.

Weitere Sicherheitsupdates

Weiterhin haben die Entwickler noch eine weitere „kritische“ Schwachstelle (CVE-2025-20363) in ASA, FTD, IOS, ISO XE und IOS XR geschlossen. Auch hier werden HTTP-Anfragen nicht ausreichend überprüft, sodass Schadcode auf Instanzen gelangen kann.

Erst kürzlich sorgten Root-Sicherheitslücken in Ciscos Netzwerkbestriebssystem IOS und IOS XE für Schlagzeilen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Der IT-Dienstleister NTT Data will künftig nicht mehr mit dem Hersteller für Security-Appliances Ivanti zusammenarbeiten. Das schreibt das Unternehmen in einer internen E-Mail, die heise security auszugsweise vorliegt. Der Dienstleister geht hart mit seinem Lieferanten ins Gericht und bezeichnet dessen Geräte dank verschiedener Sicherheitslücken als „inakzeptables Risiko“.

In der Nachricht, die offenbar NTT-Data-intern versandt wurde, heißt es wörtlich: „Trotz kontinuierlicher Überwachung und Kontaktaufnahme konnten wir keine wesentliche Verbesserung der Sicherheitslage feststellen. Daher stellt die weitere Nutzung ein inakzeptables Risiko für unseren Betrieb, die Datenintegrität und das Vertrauen unserer Kunden dar“.

Unsicherheit jahrelang bekannt

Ivanti fällt immer wieder durch teilweise schwere Sicherheitslücken in seinen Security Appliances auf, zuletzt vor zwei Wochen. Im vergangenen Jahr hatte die US-Cybersicherheitsbehörde CISA gar angeordnet, dass ihr unterstellte Behörden bestimmte Ivanti-Geräte abschalten müssen. Der CEO des Unternehmens hatte dann in einem offenen Brief Besserung gelobt. Die ist jedoch offenbar nur teilweise eingetreten: Zwar hat Ivanti im Vorjahresvergleich etwa zwei Drittel weniger CVE-Nummern für Sicherheitslücken veröffentlicht. Das kann an weniger Fehlern, aber auch weniger Fehlersuche liegen. Doch auch im Jahr 2025 musste die CISA vor einer Schadsoftware warnen, die sich direkt auf den Geräten des Herstellers einnistet – dessen eigenes Sicherheitsteam übersah eine kritische Sicherheitslücke und stufte sie als normalen Programmfehler ein.

Die Sicherheitsprobleme bei Ivanti sind also bereits seit Jahren bekannt, dennoch ist die nun angeblich erfolgende Auslistung bei NTT Data ein ungewöhnlicher Schritt. Das Unternehmen will künftig, so die interne Mitteilung weiter, auf alle Ivanti-Produkte verzichten. Das gelte nicht nur für die eigenen Systeme, sondern insbesondere auch für den Weiterverkauf an Dritte. Auch Verlängerungen für bestehende Verträge sollen unterbleiben und interne Security-Spezialisten würden bei der Umstellung unterstützen, so das Memo. Die japanische NTT Data ist mit ihrer Tochterfirma in Deutschland an mehreren Standorten aktiv und bietet unter anderem Security-Dienstleistungen wie „Managed SOC“ an.

Eine offizielle Bestätigung des Unternehmens steht noch aus. Auf die E-Mail angesprochen, versprach eine Sprecherin des Unternehmens am gestrigen Mittwoch interne Klärung – sowie diese erfolgt ist, werden wir diese Meldung aktualisieren. Ivanti war kurzfristig nicht für eine Stellungnahme zu erreichen.

(cku)

Für Windows-10-Nutzer ist es eine gute Nachricht: Der Konzern macht die „Extended Security Updates“ (ESU) ein Jahr lang für Privatnutzer im Europäischen Wirtschaftsraum (EU-Staaten und Island, Norwegen und Liechtenstein) bis zum 14. Oktober 2026 kostenfrei verfügbar. Das geht aus einem Schriftwechsel zwischen einer Verbraucherorganisation und Microsoft hervor. Microsoft hat das inzwischen gegenüber Windows Central bestätigt.

Anders als etwa in den USA, wo das Update-Jahr 30 US-Dollar kosten soll, können Verbraucher in Europa die Sicherheitsupdates kostenfrei erhalten. Das sicherte Microsoft dem Verband Euroconsumers zu. Nur einen Haken wird es weiterhin geben: Die Sicherheitsupdates bekommen nur Privatnutzer, die ihre Windows-10-Installation mit einem Microsoft-Konto verknüpft haben. Trotzdem sei das ein Fortschritt, findet Els Bruggemann von der Verbraucherorganisation Euroconsumers, die Microsoft dazu gedrängt hatte.

Denn Euroconsumers sah in den Bedingungen, die die Firma zum Zugang für einen längeren Sicherheitsupdate-Support bislang aufstellte, gleich mehrere Verstöße gegen EU-Gesetze. Microsoft habe den Zugang zu Updates von weiteren Daten abhängig gemacht. Angesichts der Marktmacht des US-Konzerns unter dem Digital Markets Act (DMA) und unter der kaum bekannten „Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ sei das nicht möglich, so die Organisation. Die Richtlinie formuliert Anforderungen für digitale Inhalte und Dienstleistungen. Euroconsumers wirft Microsoft aber weiterhin vor, durch willkürliche Hardwareanforderungen für Windows 11 gegen das Recht zu verstoßen und unnötige Obsoleszenz herbeizuführen.

Neuregelung gilt nur in Europa

Mit dem nun eingeschlagenen Weg, dass Privatnutzer für die Sicherheitsupdates auf ein Microsoft-Konto angewiesen sind, zeigte sich Euroconsumers etwas besänftigt: Zumindest rechtlich sei das, anders als etwa die Verknüpfung mit der Teilnahme am Reward-Programm oder mit Microsofts OneDrive kein Verstoß gegen die Regeln des Digital Markets Act, erklärt Bruggeman gegenüber heise online. Für Unternehmen und andere kommerzielle Nutzer gilt allerdings weiterhin: Die Teilnahme am ESU-Programm bleibt für sie kostenpflichtig.

Mit dem Zugeständnis an die Verbraucherschützer bevorteilt Microsoft bei ihrem ersten Verbraucher-ESU-Programm die Nutzer in der EU und dem verbundenen Wirtschaftsraum deutlich – was für weitere Diskussionen auch in anderen Regionen sorgen könnte. Dass das EU-Recht hier offenbar eine Besserstellung der Nutzer gegenüber anderen Rechtsordnungen bietet, dürfte die zuständigen Politiker in Brüssel mit einiger Freude sehen.

BSI begrüßt Gnadenfrist – und fordert Nutzer zum Handeln auf

Das Bundesamt für Sicherheit in der Informationstechnik (BS) begrüßt ausdrücklich die längere Verfügbarkeit wichtiger Sicherheitsupdates für Privatnutzer mit Windows 10: „Anwenderinnen und Anwender bekommen damit etwas mehr Zeit, sich um ein Betriebssystem zu bemühen, das langfristig mit Sicherheitsupdates versorgt wird“, erklärt ein Sprecher. Über eigene Erkenntnisse zur Zahl der Windows-10-Nutzer in Deutschland verfügt die Bonner Behörde nicht. Öffentliche Statistiken weisen aber nach wie vor einen hohen Marktanteil aus – demnach läuft etwa die Hälfte der Systeme in Deutschland noch mit dem vor zehn Jahren erstmals veröffentlichten Betriebssystem.

(ps)