Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Seit zwei Jahren ungepatcht: 15.000 Cisco-Geräte mit Malware infiziert

Angreifer bedienen sich einer seit 2023 bekannten Sicherheitslücke , um Cisco-Geräte zu kompromittieren. Entfernte Malware kommt ständig zurück.
/ Marc Stöckel
6 Kommentare News folgen (öffnet im neuen Fenster)
Unzählige Cisco-Geräte sind weiterhin anfällig für eine alte Sicherheitslücke. (Bild: Justin Sullivan/Getty Images)
Unzählige Cisco-Geräte sind weiterhin anfällig für eine alte Sicherheitslücke. Bild: Justin Sullivan/Getty Images

Eine schon seit 2023 bekannte Sicherheitslücke in Cisco IOS XE wird unzähligen Organisationen zum Verhängnis. Neuen Zahlen der Shadowserver Foundation(öffnet im neuen Fenster) zufolge sind aktuell weltweit rund 15.000 Cisco-Geräte mit einer Malware namens Badcandy infiziert. Häufig kommt es wohl zu Neuinfektionen, nachdem Administratoren die Schadsoftware beseitigt, aber verfügbare Patches nicht eingespielt haben.

Deutschland kommt im Ländervergleich(öffnet im neuen Fenster) vergleichsweise gut weg. Nur 87 infizierte Geräte soll es hierzulande geben. Wesentlich schlechter steht es beispielsweise um Mexiko (2.534), die USA (1.694), Indien (1.061), Chile (992) und Peru (614). Innerhalb Europas führen das Vereinigte Königreich (255) und Rumänien (184) das Feld an.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Per Sicherheitslücke zum eigenen Konto

Die Infektion der betroffenen Cisco-Geräte erfolgt durch CVE-2023-20198(öffnet im neuen Fenster) – eine seit Oktober 2023 bekannte kritische Sicherheitslücke mit dem maximal möglichen CVSS-Wert von 10. Angreifer können die Lücke ausnutzen, um Cisco-Systeme ohne vorherige Authentifizierung aus der Ferne zu infiltrieren und sich ein eigenes Nutzerkonto anzulegen.

Die Schwachstelle wird laut Cisco häufig mit CVE-2023-20273(öffnet im neuen Fenster) kombiniert, um nach erfolgreicher Infiltration Root-Rechte zu erlangen. Sicherheitsforscher von Cisco Talos hatten schon 2023 in einem Blogbeitrag(öffnet im neuen Fenster) vor laufenden Angriffen in Verbindung mit der Badcandy-Malware gewarnt.

Badcandy bleibt hartnäckig

Kurz nach Bekanntwerden von CVE-2023-20198 hatte die Shadowserver Foundation weltweit mehr als 40.000 Infektionen registriert . Dass zwei Jahre später noch immer 15.000 Geräte kompromittiert sind, verwundert auf den ersten Blick. Die australische Cybersicherheitsbehörde ASD (Australian Signals Directorate) lieferte jedoch kürzlich eine Erklärung dafür(öffnet im neuen Fenster) .

Demnach scheinen die Angreifer die Entfernung von Badcandy auf zuvor infizierten Geräten zu erkennen. Installieren Administratoren nicht den von Cisco zur Verfügung gestellten Patch(öffnet im neuen Fenster) , so wird CVE-2023-20198 unmittelbar erneut ausgenutzt, wodurch die Malware wieder auf das jeweilige System gelangt.

Da die Schadsoftware nicht persistent ist, lässt sie sich mit einem einfachen Neustart entfernen. Administratoren sollten jedoch zusätzliche Maßnahmen ergreifen, um eine Neuinfektion zu vermeiden. Dazu zählt nicht nur das Einspielen des Patches gegen CVE-2023-20198, sondern auch das Entfernen verdächtiger Nutzerkonten sowie weitere Korrekturen an der Gerätekonfiguration. Nützliche Details dazu finden Admins in der ASD-Meldung(öffnet im neuen Fenster) .

Zur Startseite 6 Kommentare

Relevante Themen

SecuritySicherheitslückeUpdates & PatchesCybercrimeUnternehmenDatensicherheitVirusMalwareHacker