Sicherheitsforscher der Insikt Group des Sicherheitsunternehmens Recorded Future haben festgestellt, dass offenbar eine chinesische Hackergruppe namens Salt Typhoon, auch bekannt als RedMike, aktiv eine ungepatchte Sicherheitslücke ausnutzt, um Telekommunikationsunternehmen in aller Welt anzugreifen. Die Angriffe waren bereits bei mehreren Telekommunikationsanbietern erfolgreich, darunter ein US-amerikanischer Internet Service Provider (ISP), ein in den USA ansässiges Tochterunternehmen eines britischen Telekommunikationsanbieters, ein südafrikanischer Telekommunikationsanbieter, ein italienischer ISP und ein großer thailändischer Telekommunikationsanbieter.
Den Sicherheitsforschern zufolge wurden kompromittierte und umkonfigurierte Cisco-Geräte bei den Opfern gefunden, die über sogenannte GRE-Tunnel (Generic Routing Encapsulation) mit von Salt Typhoon kontrollierten Servern kommunizieren, um dauerhaften Zugriff zu erhalten. Zwischen Dezember 2024 und Januar 2025 hatte Salt Typhoon über 1.000 Cisco-Netzwerkgeräte im Visier, mehr als die Hälfte davon in den USA, Südamerika und Indien.
Auch die Sicherheitsforscher identifizierten mittels Internet-Scan mehr als 12.000 Cisco-Netzwerkgeräte, deren Online-Zugriff frei mit dem Internet verbunden war. Auch diese Geräte laufen Gefahr, Opfer der Angreifer zu werden. Trotzdem geht die Insikt Group davon aus, dass es sich um eine gezielte Aktivität handele. Da die Zahl der angegriffenen Geräte nur 8 Prozent der exponierten Router ausmache. Außerdem führten die Hacker wohl regelmäßige Aufklärungsaktivitäten durch, bei denen gezielt Geräte ausgewählt würden, die mit den Netzwerken von Telekommunikationsanbietern verbunden seien.
Bereits vor zwei Jahren wurden die jetzt betroffenen Sicherheitslücken ausgenutzt, um über 50.000 Cisco IOS XE-Geräte zu kompromittieren. Zahlen von Five Eyes zufolge gehörten sie sogar zu den fünf am häufigsten ausgenutzten Sicherheitslücken 2023. Im Umkehrschluss bedeutet das jedoch, dass auch zwei Jahre später noch tausende Geräte im Einsatz sind, bei denen die zur Verfügung stehenden Sicherheitspatches nicht durchgeführt wurden, obwohl die Bedrohung bekannt war.
Wer also bis jetzt die Sicherheitsupdates nicht aufgespielt hat, sollte das so schnell wie möglich nachholen. Zusätzlich empfehlen die Sicherheitsforscher, Nutzerprofile mit Admin-Rechten nicht direkt mit dem Internet zu verbinden.
Den Sicherheitsforschern zufolge wurden kompromittierte und umkonfigurierte Cisco-Geräte bei den Opfern gefunden, die über sogenannte GRE-Tunnel (Generic Routing Encapsulation) mit von Salt Typhoon kontrollierten Servern kommunizieren, um dauerhaften Zugriff zu erhalten. Zwischen Dezember 2024 und Januar 2025 hatte Salt Typhoon über 1.000 Cisco-Netzwerkgeräte im Visier, mehr als die Hälfte davon in den USA, Südamerika und Indien.
Auch die Sicherheitsforscher identifizierten mittels Internet-Scan mehr als 12.000 Cisco-Netzwerkgeräte, deren Online-Zugriff frei mit dem Internet verbunden war. Auch diese Geräte laufen Gefahr, Opfer der Angreifer zu werden. Trotzdem geht die Insikt Group davon aus, dass es sich um eine gezielte Aktivität handele. Da die Zahl der angegriffenen Geräte nur 8 Prozent der exponierten Router ausmache. Außerdem führten die Hacker wohl regelmäßige Aufklärungsaktivitäten durch, bei denen gezielt Geräte ausgewählt würden, die mit den Netzwerken von Telekommunikationsanbietern verbunden seien.
Bereits vor zwei Jahren wurden die jetzt betroffenen Sicherheitslücken ausgenutzt, um über 50.000 Cisco IOS XE-Geräte zu kompromittieren. Zahlen von Five Eyes zufolge gehörten sie sogar zu den fünf am häufigsten ausgenutzten Sicherheitslücken 2023. Im Umkehrschluss bedeutet das jedoch, dass auch zwei Jahre später noch tausende Geräte im Einsatz sind, bei denen die zur Verfügung stehenden Sicherheitspatches nicht durchgeführt wurden, obwohl die Bedrohung bekannt war.
Wer also bis jetzt die Sicherheitsupdates nicht aufgespielt hat, sollte das so schnell wie möglich nachholen. Zusätzlich empfehlen die Sicherheitsforscher, Nutzerprofile mit Admin-Rechten nicht direkt mit dem Internet zu verbinden.
