|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Cisco-Router: Erneut Hackerangriffe auf US-Telekommunikationsunternehmen

19. Februar 2025

Sicherheitsforscher der Insikt Group des Sicherheitsunternehmens Recorded Future haben festgestellt, dass offenbar eine chinesische Hackergruppe namens Salt Typhoon, auch bekannt als RedMike, aktiv eine ungepatchte Sicherheitslücke ausnutzt, um Telekommunikationsunternehmen in aller Welt anzugreifen. Die Angriffe waren bereits bei mehreren Telekommunikationsanbietern erfolgreich, darunter ein US-amerikanischer Internet Service Provider (ISP), ein in den USA ansässiges Tochterunternehmen eines britischen Telekommunikationsanbieters, ein südafrikanischer Telekommunikationsanbieter, ein italienischer ISP und ein großer thailändischer Telekommunikationsanbieter.

Den Sicherheitsforschern zufolge wurden kompromittierte und umkonfigurierte Cisco-Geräte bei den Opfern gefunden, die über sogenannte GRE-Tunnel (Generic Routing Encapsulation) mit von Salt Typhoon kontrollierten Servern kommunizieren, um dauerhaften Zugriff zu erhalten. Zwischen Dezember 2024 und Januar 2025 hatte Salt Typhoon über 1.000 Cisco-Netzwerkgeräte im Visier, mehr als die Hälfte davon in den USA, Südamerika und Indien.

Auch die Sicherheitsforscher identifizierten mittels Internet-Scan mehr als 12.000 Cisco-Netzwerkgeräte, deren Online-Zugriff frei mit dem Internet verbunden war. Auch diese Geräte laufen Gefahr, Opfer der Angreifer zu werden. Trotzdem geht die Insikt Group davon aus, dass es sich um eine gezielte Aktivität handele. Da die Zahl der angegriffenen Geräte nur 8 Prozent der exponierten Router ausmache. Außerdem führten die Hacker wohl regelmäßige Aufklärungsaktivitäten durch, bei denen gezielt Geräte ausgewählt würden, die mit den Netzwerken von Telekommunikationsanbietern verbunden seien.

Bereits vor zwei Jahren wurden die jetzt betroffenen Sicherheitslücken ausgenutzt, um über 50.000 Cisco IOS XE-Geräte zu kompromittieren. Zahlen von Five Eyes zufolge gehörten sie sogar zu den fünf am häufigsten ausgenutzten Sicherheitslücken 2023. Im Umkehrschluss bedeutet das jedoch, dass auch zwei Jahre später noch tausende Geräte im Einsatz sind, bei denen die zur Verfügung stehenden Sicherheitspatches nicht durchgeführt wurden, obwohl die Bedrohung bekannt war.

Wer also bis jetzt die Sicherheitsupdates nicht aufgespielt hat, sollte das so schnell wie möglich nachholen. Zusätzlich empfehlen die Sicherheitsforscher, Nutzerprofile mit Admin-Rechten nicht direkt mit dem Internet zu verbinden.


Bild (c) Aryan / Adobe Stock

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
8com easySOC
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Jobs
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001-Zertifikat auf basis vom IT-Grundschutz. BSI-IGZ-0505-2022
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen
Logo Bündnis für DemokratieLogo Bündnis für DemokratieLogo Bündnis für Demokratie