Mit <kes>+ lesen

Backdoor in gehackten Cisco-Geräten umgeht jetzt Erkennung

Die Backdoor, die durch die Ausnutzung zweier Zero-Day-Schwachstellen in der IOS XE-Software in Cisco-Geräte eingeschleust wurde, wurde vom Bedrohungsakteur modifiziert. Bisherige Erkennungsmethoden schlagen damit fehl. Cisco hat bereits damit begonnen, Sicherheitsupdates zu verteilen, um die Probleme zu beheben. Weitere Updates sollen zu einem späteren Zeitpunkt folgen.

Bedrohungen
Lesezeit 2 Min.

Bei den Angriffen werden CVE-2023-20198 (CVSS-Score: 10.0) und CVE-2023-20273 (CVSS-Score: 7.2) zu einer Exploit-Kette zusammengefügt, die es dem Angreifer ermöglicht, sich Zugang zu den Geräten zu verschaffen, ein privilegiertes Konto zu erstellen und schließlich ein Lua-basiertes Programm auf den Geräten zu installieren. „Der untersuchte Netzwerkverkehr zu einem kompromittierten Gerät hat gezeigt, dass der Bedrohungsakteur das Implantat aufgerüstet hat, um eine zusätzliche Header-Überprüfung durchzuführen“, so das Fox-IT-Team der NCC Group. „So ist das Implantat bei vielen Geräten immer noch aktiv, antwortet aber nur noch, wenn der korrekte Authorization HTTP-Header gesetzt ist.“

Die genaue Identität des Bedrohungsakteurs, der hinter der Kampagne steckt, ist derzeit noch nicht bekannt, obwohl die Anzahl der betroffenen Geräte bereits auf zig Tausend geschätzt wird. Die Schätzungen basieren auf Daten, die von VulnCheck und Censys zur Verfügung gestellt wurden. „Die Infektionen sehen wie Massenhacks aus“, so Mark Ellzey, Senior Security Researcher bei Censys. „Wahrscheinlich werden die Hacker zu einem späteren Zeitpunkt die wild zusammengesammelte Beute auf tatsächlich Verwertbares durchsuchen.“

Die Zahl der kompromittierten Geräte ist allerdings in letzter Zeit von etwa 40.000 auf rund 1.200 gesunken. Das hat Spekulationen befeuert, dass es möglicherweise einige Änderungen „unter der Haube“ gegeben hat, um das Vorhandensein des Implantats zu verbergen. Tatsächlich scheint der vermeintliche Rückgang der Infektionen auf so etwas hinzudeuten: Fox-IT hat jüngst entsprechende Modifikationen nachgewiesen und festgestellt, dass in Wirklichkeit noch mehr als 37.000 Geräte mit dem Implantat infiziert sind.

Cisco seinerseits hat die Verhaltensänderung des Implantats in seinen aktualisierten Hinweisen bestätigt und einen curl-Befehl zur Verfügung gestellt, der von einer Workstation aus ausgeführt werden kann, um das Vorhandensein des Implantats auf den Geräten zu überprüfen:

curl -k -H „Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb“ -X POST „https://systemip/webui/logoutconfirm.html?logon_hash=1“

„Wenn die Anfrage eine hexadezimale Zeichenfolge wie 0123456789abcdef01 zurückgibt, ist das Implantat vorhanden“, so Cisco. „Das Hinzufügen der Header-Prüfung im Implantat durch die Angreifer ist wahrscheinlich eine reaktive Maßnahme, um die Identifizierung kompromittierter Systeme zu verhindern“, so das Unternehmen weiter. „Diese Header-Prüfung wird in erster Linie verwendet, um die Identifizierung von kompromittierten Systemen zu vereiteln. Das hat wahrscheinlich dazu geführt, dass die Sichtbarkeit von öffentlich zugänglichen infizierten Systemen in letzter Zeit stark abgenommen hat.“

Diesen Beitrag teilen: