Kritische RCE-Sicherheitslücke in Cisco FMC mit CVSS 10.0 entdeckt : Fehler im RADIUS-Subsystem ermöglicht Remotecodeausführung ohne Authentifizierung
Cisco warnt vor einer gravierenden Schwachstelle in der Secure Firewall Management Center (FMC) Software. Die Lücke mit der Kennung CVE-2025-20265 erreicht die maximale Bewertung von 10,0 im CVSS-System und erlaubt die Ausführung beliebiger Befehle mit hohen Rechten. Betroffen sind Systeme mit aktivierter RADIUS-Authentifizierung. Administratoren sollten umgehend patchen.
Die Schwachstelle betrifft das RADIUS-Subsystem der Cisco Secure FMC Software. Angreifer können manipulierte Daten bei der Anmeldung einschleusen, die vom System nicht korrekt geprüft werden. Dadurch gelangen die Eingaben an den RADIUS-Server und führen dazu, dass beliebige Befehle direkt auf dem Gerät ausgeführt werden. Besonders kritisch: Der Angriff funktioniert auch ohne gültige Zugangsdaten.
Damit können Angreifer Befehle mit sehr hohen Rechten ausführen. Voraussetzung ist jedoch, dass die RADIUS-Authentifizierung in der betroffenen Software aktiviert ist – sei es für das webbasierte Management-Interface, für die SSH-Verwaltung oder für beide.
Betroffene Versionen und fehlende Workarounds
Gefährdet sind die Versionen 7.0.7 und 7.7.0 der Cisco Secure FMC Software, sofern RADIUS-Authentifizierung aktiv ist. Ohne diese Konfiguration besteht kein Risiko. Workarounds existieren nicht – einzig die von Cisco bereitgestellten Sicherheitsupdates schützen wirksam vor einem Angriff. Entdeckt wurde die Schwachstelle durch den Cisco-Sicherheitsforscher Brandon Sakai im Rahmen interner Tests.
Weitere Sicherheitslücken geschlossen
Neben dieser kritischen Lücke hat Cisco noch eine ganze Reihe weiterer Schwachstellen behoben, die ebenfalls ein hohes Risiko darstellen und meist zu Denial-of-Service-Angriffen führen können. Dazu gehören unter anderem:
- CVE-2025-20217 (CVSS 8,6): Snort 3 DoS in Secure Firewall Threat Defense
- CVE-2025-20222 (CVSS 8,6): IPv6-over-IPsec DoS in Firepower 2100
- CVE-2025-20224, 20225, 20239 (jeweils CVSS 8,6): IKEv2 DoS in IOS, IOS XE und Secure Firewall
- CVE-2025-20133, 20243 (jeweils CVSS 8,6): SSL VPN DoS in Adaptive Security Appliance und Threat Defense
- CVE-2025-20134 (CVSS 8,6): SSL/TLS-Zertifikat DoS
- CVE-2025-20136 (CVSS 8,6): NAT DNS Inspection DoS
- CVE-2025-20263 (CVSS 8,6): Web Services DoS in ASA und Threat Defense
- CVE-2025-20148 (CVSS 8,5): HTML-Injection in Secure Firewall Management Center
- CVE-2025-20251 (CVSS 8,5): VPN-Webserver DoS in ASA und Threat Defense
- CVE-2025-20127 (CVSS 7,7): TLS 1.3 Cipher DoS in Firepower 3100 und 4200
- CVE-2025-20244 (CVSS 7,7): Remote Access VPN Webserver DoS
Handlungsbedarf für Netzwerkbetreiber
Nach aktuellem Stand gibt es keine Hinweise auf aktive Angriffe. Doch gerade Geräte in Netzwerken sind ein bevorzugtes Ziel für Cyberkriminelle. RCE-Schwachstellen mit der höchsten Bewertung werden erfahrungsgemäß sehr schnell in Angriffswerkzeuge integriert. Deshalb gilt: Unternehmen und Behörden, die Cisco Secure FMC einsetzen, müssen umgehend auf die neuesten Versionen aktualisieren. Nur so lassen sich Ausfälle, unbefugter Zugriff und mögliche Folgeschäden verhindern.