Cisco hat bestätigt, dass staatlich geförderte chinesische Hacker aktiv eine kritische, ungepatchte Schwachstelle in seinen weit verbreiteten Sicherheitsprodukten ausnutzen. Der Fehler betrifft Cisco Secure Email Gateway, Cisco Secure Email und Web Manager-Appliances und ermöglicht Angreifern möglicherweise die vollständige Kontrolle über kompromittierte Geräte.
Details zu kritischen Sicherheitslücken
Die Sicherheitslücke liegt in der „Spam-Quarantäne“-Funktion der Cisco AsyncOS-Software. Auch wenn sie nicht standardmäßig aktiviert ist, sind exponierte Instanzen, die über das Internet erreichbar sind, einem unmittelbaren Risiko ausgesetzt. Cisco entdeckte die Exploit-Kampagne am 10. Dezember, aber es ist kein sofortiger Patch verfügbar, sodass Unternehmen nach Strategien zur Schadensbegrenzung suchen.
Die aktuelle Empfehlung des Unternehmens ist extrem: vollständige Neuerstellung der betroffenen Appliances. Dies liegt daran, dass die Angreifer wahrscheinlich bereits persistente Hintertüren eingerichtet haben, die durch herkömmliches Patchen nicht entfernt werden können.
Warum das wichtig ist
Aus mehreren Gründen handelt es sich hierbei um eine äußerst schwerwiegende Bedrohung:
- Umfassender Einsatz: Die E-Mail-Sicherheitsprodukte von Cisco werden von großen Unternehmen häufig genutzt, wodurch die potenzielle Angriffsfläche erheblich ist.
- Staatlich geförderte Akteure: Cisco Talos, der Threat-Intelligence-Zweig des Unternehmens, bringt die Kampagne mit von der chinesischen Regierung unterstützten Hackergruppen in Verbindung. Dies deutet eher auf gezielte Bemühungen als auf opportunistische Kriminalität hin.
- Zero-Day-Exploit: Das Fehlen eines Patches bedeutet, dass selbst Organisationen mit strengen Sicherheitspraktiken anfällig sind, bis der Fehler behoben ist.
Begrenzte Schadensbegrenzungsoptionen
Obwohl die Spam-Quarantänefunktion standardmäßig nicht aktiviert ist und nicht im Internet verfügbar gemacht werden muss, räumt Cisco ein, dass die betroffenen Systeme bereits gefährdet sind.
Sicherheitsforscher wie Michael Taggart von der UCLA Health Sciences stellen fest, dass die Angriffsfläche durch die Anforderung einer mit dem Internet verbundenen Verwaltungsschnittstelle etwas eingeschränkt wird. Kevin Beaumont, ein angesehener Cybersicherheitsforscher, warnt jedoch davor, dass die Kampagne aufgrund des Mangels an Patches und der Möglichkeit einer langfristigen Persistenz besonders gefährlich sei.
Antwort von Cisco
Cisco hat die Anzahl der betroffenen Kunden noch nicht bekannt gegeben. Als ein Unternehmenssprecher nach Einzelheiten gefragt wurde, lehnte er es ab, Fragen zu beantworten, und erklärte stattdessen, dass man „aktiv nachforscht“ und „eine dauerhafte Abhilfemaßnahme entwickelt“.
Dies ist eine sich entwickelnde Situation, die sofortige Aufmerksamkeit von Cisco-Kunden erfordert. Das Fehlen eines Patches erfordert drastische Maßnahmen: Die Wiederherstellung kompromittierter Systeme ist derzeit die einzig praktikable Lösung.
Die Tatsache, dass staatlich geförderte chinesische Hacker hinter dieser Kampagne stecken, lässt darauf schließen, dass kritische Infrastrukturen und sensible Daten gefährdet sind. Organisationen müssen schnell handeln, um ihre Gefährdung einzuschätzen und die empfohlenen Abhilfemaßnahmen umzusetzen.
