Russische Angriffe auf Cisco-Systeme über eine uralte Schwachstelle
Eine von Moskau unterstützte Hacker-Einheit namens Static Tundra nutzt derzeit eine Schwachstelle in Cisco-Software aus, um sich dauerhaft Zugang zu fremden Netzwerken zu verschaffen. Der Bug selbst ist schon seit Jahren bekannt.
Die betroffene Sicherheitslücke (CVE-2018-0171) wurde bereits 2018 entdeckt und mit einem CVSS-Wert von 9,8 als kritisch eingestuft. Sie steckt im "Smart Install"-Feature von Cisco IOS und IOS XE und erlaubt es Angreifern, Schadcode auszuführen oder Systeme zum Absturz zu bringen - ohne vorherige Authentifizierung. Patches stehen schon entsprechend lange zur Verfügung.
Auch die US-Bundespolizei FBI warnt vor einer Zunahme entsprechender Attacken. Demnach nutzten die Angreifer ungepatchte und teilweise veraltete Netzwerkgeräte, um Konfigurationsdateien zu entwenden oder zu manipulieren. Auf diesem Weg würden Hintertüren eingerichtet, die langfristige Spionage ermöglichen. Unter anderem kommt dabei das bereits 2015 entdeckte Schadprogramm SYNful Knock zum Einsatz, das Router-Firmware manipuliert und unbemerkt aktualisiert werden kann.
Die Hacker-Gruppe wird mit dem russischen Geheimdienst FSB, genauer dessen Einheit "Center 16", in Verbindung gebracht und ist seit über einem Jahrzehnt aktiv. Sie gilt als Teil eines größeren Netzwerks, das unter verschiedenen Namen wie "Berserk Bear" oder "Dragonfly" bekannt ist. Cisco rät betroffenen Kunden dringend, die bereitgestellten Sicherheitsupdates einzuspielen oder - falls nicht möglich - die Smart-Install-Funktion zu deaktivieren. Angesichts der anhaltenden Ausnutzung der Schwachstelle sei schnelles Handeln notwendig, betont das Unternehmen.
Siehe auch:
Verbindung zum FSB
Ziel der Angriffe sind vor allem Unternehmen aus den Bereichen Telekommunikation, Hochschulen sowie die Industrie. Betroffen sind Organisationen in Nordamerika, Asien, Afrika und Europa. Die Auswahl der Opfer erfolgt nach strategischem Interesse für Russland, teilte die Cisco-Tochter Talos mit. Besonders seit der russischen Invasion gegen die Ukraine im Jahr 2022 seien ukrainische Einrichtungen sowie deren internationale Partner ins Visier geraten.Die betroffene Sicherheitslücke (CVE-2018-0171) wurde bereits 2018 entdeckt und mit einem CVSS-Wert von 9,8 als kritisch eingestuft. Sie steckt im "Smart Install"-Feature von Cisco IOS und IOS XE und erlaubt es Angreifern, Schadcode auszuführen oder Systeme zum Absturz zu bringen - ohne vorherige Authentifizierung. Patches stehen schon entsprechend lange zur Verfügung.
Auch die US-Bundespolizei FBI warnt vor einer Zunahme entsprechender Attacken. Demnach nutzten die Angreifer ungepatchte und teilweise veraltete Netzwerkgeräte, um Konfigurationsdateien zu entwenden oder zu manipulieren. Auf diesem Weg würden Hintertüren eingerichtet, die langfristige Spionage ermöglichen. Unter anderem kommt dabei das bereits 2015 entdeckte Schadprogramm SYNful Knock zum Einsatz, das Router-Firmware manipuliert und unbemerkt aktualisiert werden kann.
Handeln erforderlich
Zur Tarnung veränderten die Angreifer Konfigurationen, die eigentlich für die Protokollierung von Zugriffen gedacht sind. Zudem leiteten sie Netzwerkverkehr über eigens kontrollierte Server um und sammelten NetFlow-Daten. Laut Talos greift Static Tundra dabei auf frei verfügbare Scan-Dienste wie Shodan oder Censys zurück, um potenzielle Ziele aufzuspüren.Die Hacker-Gruppe wird mit dem russischen Geheimdienst FSB, genauer dessen Einheit "Center 16", in Verbindung gebracht und ist seit über einem Jahrzehnt aktiv. Sie gilt als Teil eines größeren Netzwerks, das unter verschiedenen Namen wie "Berserk Bear" oder "Dragonfly" bekannt ist. Cisco rät betroffenen Kunden dringend, die bereitgestellten Sicherheitsupdates einzuspielen oder - falls nicht möglich - die Smart-Install-Funktion zu deaktivieren. Angesichts der anhaltenden Ausnutzung der Schwachstelle sei schnelles Handeln notwendig, betont das Unternehmen.
Zusammenfassung
- Russische Hacker-Gruppe Static Tundra nutzt alte Cisco-Schwachstelle
- Betroffen sind Telekommunikation, Hochschulen und Industrie weltweit
- Die kritische Sicherheitslücke CVE-2018-0171 ist seit 2018 bekannt
- Angreifer manipulieren Netzwerkgeräte für langfristige Spionagemöglichkeiten
- Die Hacker-Gruppe wird mit dem russischen Geheimdienst FSB in Verbindung gebracht
- Cisco empfiehlt dringend Updates oder Deaktivierung der Smart-Install-Funktion
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen