Eine nicht gepatchte Sicherheitslücke in Cisco-Routern diente einer chinesischen Cybergang als Einstiegspunkt in das Netzwerk eines kanadischen Telekommunikationsanbieters. Das berichtet die IT-Sicherheitsbehörde "Canadian Centre for Cyber Security" (oder auch kurz "Cyber Centre") und warnt vor derzeitigen Angriffen von staatlich unterstützten chinesischen Cyber-Banden.

Das Cyber Centre hat die Analyse zusammen mit dem US-amerikanischen FBI veröffentlicht. Damit wollen die Behörden vor der Gefahr durch chinesisch-staatlich unterstützte Bedrohungsakteure warnen, die globale Telekommunikationsanbieter infiltrieren und ausspähen wollen. Insbesondere die Gruppe Salt Typhoon steche heraus.

Bösartige Akteure: Einstieg über alte Cisco-Lücke

Die Angriffe laufen demnach aktuell auch gegen kanadische Telko-Anbieter. Bei einem nicht namentlich genannten Provider konnten Mitglieder der Gruppe Salt Typhoon Mitte Februar des Jahres eindringen. Sie haben dazu die Schwachstelle CVE-2023-20198 (EUVD-2023-24377) missbraucht, um von drei verwundbaren Geräten die Konfigurationsdateien zu sammeln und auf mindestens einem zu manipulieren, sodass Daten aus dem Netzwerk über einen dabei konfigurierten GRE-Tunnel ausgeleitet werden konnten.

Die Sicherheitslücke betrifft Ciscos IOS XE. Das Linux-basierte System läuft auf Routern und Switches von Cisco und bringt eine webbasierte Bedienoberfläche mit. Sofern die aktiv ist, können Angreifer die Sicherheitslücke missbrauchen, um direkt die komplette Kontrolle über das anfällige System zu übernehmen. Die Entwickler stufen die Schwachstelle mit einem CVSS-Wert von 10.0, mithin die Höchstwertung, daher als Risiko "kritisch" ein. Im Oktober 2023 wurde die Lücke bekannt und Cisco stellte aktualisierte Software bereit, um sie zu schließen. Die hat der angegriffene kanadische Telko-Anbieter offenbar über ein Jahr lang nicht installiert.

Die Untersuchungen der IT-Experten des "Cyber Centre" deuten darauf hin, dass die Ziele weiter reichen als lediglich in den Telekommunikationssektor. In einigen Fällen ermöglichte das Kompromittieren der Geräte das Ausspähen der Netzwerke oder das Infizieren weiterer Geräte, in anderen hingegen ging es lediglich darum, später erneut auf infiltrierte Geräte zuzugreifen (Reconnaisence). Für die kommenden zwei Jahre erwarten die IT-Sicherheitsexperten weitere Angriffe der chinesisch gelenkten Cybergang. Telekommunikationsanbieter seien dabei höchste Priorität, da Angreifer dort am weitreichendsten ausspähen könnten.

Angriffsziele seien Schwachstellen in Sicherheits- und Netzwerk-Geräten am Netzwerk-Perimeter, einschließlich Router, Firewalls und VPN-Lösungen. Dort müssen Sicherheitslücken folglich schnellstmöglich geschlossen werden.

Die China zugeordnete kriminelle Online-Bande Salt Typhon ist auch in den USA sehr aktiv. Ende 2024 haben IT-Experten Cyberangriffe auf mehrere große Telekommunikationsanbieter in den USA entdeckt. Die Angreifer sind bei AT&T, T-Mobile, Verizon und anderen US-Providern eingebrochen. Dort wurde jedoch nicht öffentlich, welche Schwachstellen die Täter dazu missbraucht haben.