Cisco-Email-Gateways: BSI warnt vor aktiver Spionagekampagne

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue, dringende Warnung zu einer kritischen Schwachstelle in Cisco-Sicherheitsprodukten herausgegeben. Hintergrund ist eine aktive Cyber-Spionagekampagne eines mutmaßlich staatlichen Angreifers.

Höchste Alarmstufe für kritische Lücke

Die Sicherheitslücke mit der Kennung CVE-2025-20393 wird derzeit aktiv ausgenutzt und ermöglicht Angreifern die vollständige Übernahme betroffener Systeme. Sie erreicht den maximalen Schweregrad von 10,0 auf der CVSS-Skala. Konkret betroffen sind die weit verbreiteten Cisco Secure Email Gateway– und Secure Email and Web Manager-Appliances. Ein erfolgreicher Angriff gewährt Fernzugriff mit Administratorrechten, was das Abfangen sensibler E-Mails, das Installieren von Hintertüren und weitere Attacken innerhalb des Firmennetzwerks ermöglicht.

Cisco bestätigte, dass die Schwachstelle in der AsyncOS-Software bereits seit November 2025 für Angriffe genutzt wird – einen Monat, bevor das Unternehmen überhaupt davon erfuhr und erste Patches bereitstellte.

Passend zum Thema IT‑Sicherheit: Viele Unternehmen unterschätzen aktuelle Angriffswege – von kompromittierten E‑Mail‑Gateways bis zu ausgeklügelten APT‑Kampagnen. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, welche Schutzmaßnahmen sofort greifen, wie Sie Risikoquellen erkennen und Ihr Team ohne hohe Investitionen stärken. Enthalten sind konkrete Checklisten für Admins, Sofortmaßnahmen zur Risikominimierung und Hinweise zu relevanten Regularien. Jetzt kostenlosen Cyber-Security-Report herunterladen

Staatlicher Angreifer im Hintergrund

Wer steckt dahinter? Die Angriffskampagne wird der fortgeschrittenen Bedrohungsgruppe UAT-9686 zugeschrieben, die mit China in Verbindung gebracht wird. Solche Advanced Persistent Threat (APT)-Akteure zielen typischerweise auf langfristige Spionage ab.

Ihre Taktik: Sie installieren ausgeklügelte Schadsoftware auf den kompromittierten E-Mail-Gateways, um auch nach einem Neustart die Kontrolle zu behalten. Das Ziel ist eindeutig ein dauerhafter Zugang zum Netzwerk des Opfers, um Kommunikation zu überwachen und sich für weitere Schritte zu positionieren.

So funktioniert die Attacke

Die Schwachstelle nutzt eine fehlerhafte Eingabeüberprüfung in AsyncOS aus. Allerdings sind zwei Bedingungen nötig: Die Funktion „Spam Quarantine“ muss aktiviert und vom öffentlichen Internet aus erreichbar sein. Dies ist zwar nicht die Standardeinstellung, wird aber aus Bequemlichkeit oft so konfiguriert – und öffnet Angreifern damit Tür und Tor.

Erfüllt ein Gerät diese Voraussetzungen, reicht eine speziell präparierte Netzwerkanfrage aus, um die vollständige Kontrolle zu erlangen. Alle Versionen vor den gepatchten Releases sind betroffen, egal ob physische oder virtuelle Appliances.

Dringende Handlungsanweisung: Patchen!

Cisco und das BSI sind sich einig: Es gibt keine wirksame Problemumgehung. Das sofortige Einspielen der bereitgestellten Sicherheitsupdates ist der einzige Weg, die Systeme zu schützen.

Administratoren müssen jetzt:
1. Überprüfen, ob die „Spam Quarantine“-Funktion aktiv und vom Internet aus erreichbar ist.
2. Unabhängig von der Konfiguration die gepatchte Software installieren.
3. Systemprotokolle auf verdächtige Aktivitäten in den vergangenen Monaten untersuchen.

Warum sind E-Mail-Gateways so begehrt? Sie sind neuralgische Punkte: Sie verarbeiten den Großteil der geschäftlichen Kommunikation und bieten bei einer Kompromittierung einen privilegierten Spähposten. Für staatliche Angreifer sind sie ein perfektes Einfallstor.

Langfristige Lehren für die IT-Sicherheit

Dieser Vorfall ist eine grundlegende Erinnerung an essentielle Sicherheitsprinzipien. Unternehmen sollten ihre gesamte Netzwerk-Infrastruktur überprüfen und alle unnötig nach außen exponierten Dienste abschalten. Das Prinzip der geringsten Rechte gilt auch für Gerätekonfigurationen.

Angesichts der wochenlangen unentdeckten Ausnutzung ist zudem ein Mentalitätswandel nötig: hin zu einer „Assume-Breach“-Haltung. Das bedeutet, aktiv nach versteckten Bedrohungen im eigenen Netzwerk zu suchen. Das Schließen der Sicherheitslücke ist nur der erste Schritt. Die Arbeit, die Angreifer auch tatsächlich aus dem Netzwerk zu vertreiben, beginnt danach erst richtig.

PS: Viele Angriffe starten über manipulierte E‑Mails. Das kostenlose Anti‑Phishing‑Paket zeigt in vier einfachen Schritten, wie Sie CEO‑Fraud, präparierte Anhänge und manipulierte Links erkennen und Ihre Mitarbeitenden praktisch schulen. Enthalten sind Prüflisten, Trainingsbausteine und Sofortmaßnahmen, die sich parallel zum Einspielen von Patches umsetzen lassen – ideal, um den Schutz Ihrer E‑Mail‑Infrastruktur schnell zu erhöhen. Anti-Phishing-Paket jetzt herunterladen