Cisco-Router: Erneut Hackerangriffe auf US-Telekommunikationsunternehmen
Chinesische Hacker attackieren weiter Telekommunikationsunternehmen weltweit. Nun sind sie erneut über ungepatchte Cisco IOS XE-Netzwerkgeräte bei US-Telekommunikationsanbietern eingedrungen.

19. Februar 2025, 13:27 Uhr · Quelle: Pressebox

Sicherheitsforscher berichten von Angriffen der chinesischen Hackergruppe Salt Typhoon auf Telekommunikationsunternehmen weltweit, die eine ungepatchte Cisco-Sicherheitslücke ausnutzen. Betroffene sollten dringend ihre Sicherheitsupdates durchführen und Admin-Profile nicht direkt mit dem Internet verbinden.

Neustadt an der Weinstraße, 19.02.2025 (PresseBox) - Sicherheitsforscher der Insikt Group des Sicherheitsunternehmens Recorded Future haben festgestellt, dass offenbar eine chinesische Hackergruppe namens Salt Typhoon, auch bekannt als RedMike, aktiv eine ungepatchte Sicherheitslücke ausnutzt, um Telekommunikationsunternehmen in aller Welt anzugreifen. Die Angriffe waren bereits bei mehreren Telekommunikationsanbietern erfolgreich, darunter ein US-amerikanischer Internet Service Provider (ISP), ein in den USA ansässiges Tochterunternehmen eines britischen Telekommunikationsanbieters, ein südafrikanischer Telekommunikationsanbieter, ein italienischer ISP und ein großer thailändischer Telekommunikationsanbieter.

Den Sicherheitsforschern zufolge wurden kompromittierte und umkonfigurierte Cisco-Geräte bei den Opfern gefunden, die über sogenannte GRE-Tunnel (Generic Routing Encapsulation) mit von Salt Typhoon kontrollierten Servern kommunizieren, um dauerhaften Zugriff zu erhalten. Zwischen Dezember 2024 und Januar 2025 hatte Salt Typhoon über 1.000 Cisco-Netzwerkgeräte im Visier, mehr als die Hälfte davon in den USA, Südamerika und Indien.

Auch die Sicherheitsforscher identifizierten mittels Internet-Scan mehr als 12.000 Cisco-Netzwerkgeräte, deren Online-Zugriff frei mit dem Internet verbunden war. Auch diese Geräte laufen Gefahr, Opfer der Angreifer zu werden. Trotzdem geht die Insikt Group davon aus, dass es sich um eine gezielte Aktivität handele. Da die Zahl der angegriffenen Geräte nur 8 Prozent der exponierten Router ausmache. Außerdem führten die Hacker wohl regelmäßige Aufklärungsaktivitäten durch, bei denen gezielt Geräte ausgewählt würden, die mit den Netzwerken von Telekommunikationsanbietern verbunden seien.

Bereits vor zwei Jahren wurden die jetzt betroffenen Sicherheitslücken ausgenutzt, um über 50.000 Cisco IOS XE-Geräte zu kompromittieren. Zahlen von Five Eyes zufolge gehörten sie sogar zu den fünf am häufigsten ausgenutzten Sicherheitslücken 2023. Im Umkehrschluss bedeutet das jedoch, dass auch zwei Jahre später noch tausende Geräte im Einsatz sind, bei denen die zur Verfügung stehenden Sicherheitspatches nicht durchgeführt wurden, obwohl die Bedrohung bekannt war.

Wer also bis jetzt die Sicherheitsupdates nicht aufgespielt hat, sollte das so schnell wie möglich nachholen. Zusätzlich empfehlen die Sicherheitsforscher, Nutzerprofile mit Admin-Rechten nicht direkt mit dem Internet zu verbinden.

Internet
[pressebox.de] · 19.02.2025 · 13:27 Uhr
[0 Kommentare]