Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Viele Systeme längst kompromittiert: Cisco stellt Patches für IOS XE bereit

Durch Schwachstellen in der Betriebssoftware IOS XE sind weltweit Zehntausende von Cisco -Geräten infiltriert worden. Jetzt gibt es erste Patches .
/ Marc Stöckel
2 Kommentare undefined News folgen (öffnet im neuen Fenster)
Cisco liefert ein erstes Update für zwei aktiv ausgenutzte Schwachstellen. (Bild: Justin Sullivan/Getty Images)
Cisco liefert ein erstes Update für zwei aktiv ausgenutzte Schwachstellen. Bild: Justin Sullivan/Getty Images

Der Netzwerkausrüster Cisco hat damit begonnen, Patches für zwei Zero-Day-Schwachstellen in seiner Betriebssoftware IOS XE bereitzustellen, nachdem Cyberkriminelle in den vergangenen Tagen Zehntausende anfälliger Geräte kompromittiert hatten. Wie aus einem erst am Montag aktualisierten Sicherheitshinweis des Herstellers(öffnet im neuen Fenster) hervorgeht, ist das Update aber bisher nur für Version 17.9 von IOS XE verfügbar.

Geschützt sind demnach Geräte, die Version 17.9.4a der Software verwenden. Wer noch auf Version 17.6, 17.3 oder 16.12 setzt, soll ebenfalls einen Patch erhalten. Wann genau dieser veröffentlicht werde, lässt Cisco allerdings derzeit noch unbeantwortet.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Zwei Schwachstellen ermöglichen Root-Zugriff

Der Patch schließt die beiden Schwachstellen CVE-2023-20198 und CVE-2023-20273. Erstere ist mit einem maximal möglichen CVSS von 10 als kritisch bewertet und ermöglicht es Angreifern, sich auf einem Zielgerät ein lokales Benutzerkonto zu erstellen. Die mit einem CVSS von 7,2 bewertete Sicherheitslücke CVE-2023-20273 dient böswilligen Akteuren anschließend zur Ausweitung ihrer Privilegien, um Root-Zugriff auf dem System zu erlangen.

Beide Schwachstellen werden von Cyberkriminellen bereits aktiv ausgenutzt, um ein bösartiges Skript einzuschleusen. Dieses ist laut Bleeping Computer(öffnet im neuen Fenster) allerdings nicht persistent und soll sich durch einen Neustart des infiltrierten Systems wieder entfernen lassen. Voraussetzung für eine erfolgreiche Ausnutzung sei außerdem ein aktives Web-UI-Feature des jeweiligen Zielgerätes.

Noch immer unzählige Cisco-Systeme kompromittiert

Sicherheitsforscher hatten weltweit wohl schon mehr als 40.000 infizierte Cisco-Geräte identifiziert, bevor es zu einem unerwartet starken Rückgang auf nur noch ein paar Hundert Systeme(öffnet im neuen Fenster) kam. Zunächst führte dies zu Spekulationen darüber, ob ein gutwilliger Hacker möglicherweise aus der Ferne alle Systeme neu gestartet habe, um das Skript zu entfernen.

Wie Forscher von Fox-IT in einem X-Beitrag(öffnet im neuen Fenster) erklärten, gab es jedoch stattdessen ein Update der Schadsoftware. Mit diesem sorgten die Angreifer dafür, dass die infiltrierten Geräte durch Prüfung eines Authorization-Headers mit zuvor verwendeten Scan-Methoden nicht mehr so leicht erkannt werden. Durch eine alternative Methode habe Fox-IT am Montag aber noch immer 37.890 kompromittierte Cisco-Geräte identifizieren können.

Die Sicherheitsforscher empfehlen jedem Administrator, der das Web-UI-Feature von IOS XE zuletzt aktiviert hatte, eine forensische Analyse durchzuführen. Hilfreiche Anweisungen zur Erkennung kompromittierter Geräte stellte Fox-IT via Github bereit(öffnet im neuen Fenster) .

Zur Startseite 2 Kommentare

Relevante Themen

Updates & PatchesSecuritySicherheitslückeCybercrimeUnternehmenMalwareHackerCyberwar