Shadow Broker: Die NSA-Hacker haben echte Ware im Angebot

Wer bei Extrabacon nur an Essen denkt, wird enttäuscht: Es handelt sich um ein NSA-Codewort für einen Router-Exploit. Cisco und ein anderer Hersteller haben die Schwachstellen eingeräumt. Unterdessen wird weiter spekuliert, wer die Informationen an die Öffentlichkeit gegeben hat.

Artikel veröffentlicht am ,
Extrabacon ist ein Exploit für Cisco-Router.
Extrabacon ist ein Exploit für Cisco-Router. (Bild: Joe Raedle/Getty Images)

Cisco und Fortinet haben bestätigt, dass die von der Hackergruppe Shadow Brokers veröffentlichten Exploits echt sind. Zuvor hatten Sicherheitsforscher einige der Exploits für verschiedene Router und Firewalls getestet und für echt befunden. Nach wie vor gibt es verschiedene Theorien zur Urheberschaft der Angriffe.

Stellenmarkt
  1. Wissenschaftlich-technische Mitarbeiterin / Wissenschaftlich-technischer Mitarbeiter (m/w/d) ... (m/w/d)
    Bundesanstalt für Straßenwesen, Bergisch Gladbach
  2. Softwareentwickler (m/w/d) für Wäge- und Automatisierungs-Systeme
    SysTec Systemtechnik und Industrieautomation GmbH, Bergheim bei Köln
Detailsuche

Cisco hat die Existenz zweier Schwachstellen aus der Veröffentlichung bestätigt. Eine mit dem Codenamen Epicbanana soll bereits im Jahr 2011 geschlossen worden sein, die mit dem Codewort Extrabacon muss noch behoben werden. Der Fehler betrifft die Implementation des Simple Network Management Protocol (SNMP) durch Cisco. Angreifer sollen durch einen Buffer Overflow in der Lage sein, Code auf den Adaptive Security Appliances (ASA) von Cisco auszuführen. Bislang gibt es keinen vollständigen Fix, nur Workarounds über Snort-Regeln.

Auch Fortinet gibt Security-Advisory heraus

Auch Fortinet hat einen Exploit in seiner Firmware mittlerweile bestätigt. Mittels einer manipulierten HTTPS-Anfrage soll es Angreifern möglich sein, Code auf dem Gerät auszuführen. Betroffen sollen nur Geräte mit einer Firmware-Version sein, die vor dem August 2012 veröffentlicht wurde. Dies sind die Versionen 4,38, 4.2.12 sowie 4.1.10 und jeweils frühere Versionen. Aktuelle Versionen ab 5.x sind nach Angaben des Unternehmens nicht betroffen.

Auch die Sicherheitsfirma Kaspersky, die die Existenz der Equation Group erstmals beschrieben hatte, hält die Exploits für echt. Denn in dem aktuell veröffentlichen Code fänden sich Hinweise auf eine ganz bestimmte Implementation des Verschlüsselungsalgorithmus RC6, die zuvor so nur bei der Equation Group gefunden worden sei.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Unklarheit gibt es nach wie vor über die Täter. Edward Snowden unterstützt über seinen Twitter-Account die Theorie, dass Russland für den Leak verantwortlich sei. Wahrscheinlich sei, so Snowden, dass Russland mit dem Leak ein Signal an die US-Regierung senden wolle, weitere öffentliche Spekulationen über den Urheber der Leaks zu der demokratischen Partei zu unterbinden.

Möglicherweise ein Innentäter

Andere hingegen halten die Innentätertheorie für wahrscheinlicher. Der Hacker Matt Suiche gibt an, dass er von einem NSA-Veteranen kontaktiert worden sei, der "zu 99,9 Prozent" sicher sei, dass Russland nicht hinter dem Angriff stehe, sondern ein NSA-Mitarbeiter. Dafür könnte sprechen, dass die Exploits der NSA in der Regel nicht auf mit dem Internet verbundenen Systeme gehostet werden. Größere Leaks von NSA-Daten sind bislang, soweit bekannt, nur von ehemaligen Mitarbeitern wie Snowden gekommen.

Grundsätzlich könnte ein NSA-Mitarbeiter aber auch einen Command-and-Control-Server für einen Angriff vorbereitet haben, dabei aber nachlässig gehandelt haben - was die Informationen für Angreifer verfügbar gemacht haben könnte.

Die - vermutlich nicht ganz ernst gemeinte - Versteigerung läuft nicht besonders gut. Bislang sind nur knapp 1.000 Euro in Bitcoin zusammengekommen. Der größte Teil kommt von einem einzigen Bieter, der 1,5 Bitcoin an die entsprechende Wallet überwiesen hat.

US-Präsident Obama hatte im Jahr 2014 angekündigt, künftig keine Exploits mehr zu horten, es sei denn, diese seien nach Angaben der NSA "vital" für die nationale Sicherheit. Auf der Sicherheitskonferenz Defcon hatte der Sicherheitsforscher Jason Healy behauptet, dass derzeit nur rund 50 aktive Exploits im Besitz der US-Regierung seien. Jetzt sind es ein paar weniger.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Bundestagswahl 2021: Laschet und Scholz wollen beide Kanzler werden
    Bundestagswahl 2021
    Laschet und Scholz wollen beide Kanzler werden

    Die Union erzielt bei der Bundestagswahl 2021 ihr bislang schlechtestes Ergebnis. Dennoch will Spitzenkandidat Laschet Kanzler einer "Zukunftskoalition" werden.

  2. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

  3. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /