Der australische Geheimdienst Australian Signals Directorate (ASD) warnt vor der Malware "Badcandy", die staatlich unterstützte Akteure durch eine alte Sicherheitslücke in Cisco IOS XE installieren. Die Sicherheitslücke ist seit 2023 bekannt. Cisco hat auch Softwareupdates zum Schließen davon veröffentlicht.
Die australischen Beamten erörtern, dass derzeit immer noch Angriffe auf die Sicherheitslücke (CVE-2023-20198, CVSS 10.0, Risiko "kritisch") zu beobachten sind. Die Malware Badcandy wurde bereits seit Oktober 2023 durch die Schwachstelle auf verwundbare Cisco-Geräte verfrachtet. Erneute Aktivitäten damit waren sowohl im Jahr 2024 als auch 2025 zu beobachten.
Bei der Schadsoftware handelt es sich um eine Lua-basierte Web-Shell. Bösartige Akteure haben typischerweise nach solch einer Kompromittierung der Geräte durch die Schwachstelle eine nicht-persistente Version einen Patch installiert, um die Anfälligkeit der Geräte für die Sicherheitslücke zu vertuschen. Auch die Badcandy-Malware überlebt einen Geräte-Neustart nicht. Angreifer können jedoch über Zugangsdaten oder andere Formen von Persistenz verfügen und so dennoch weiterhin Zugriff auf das Netzwerk oder Geräte behalten.
Um einen erneuten Missbrauch der Schwachstelle und die Re-Infektion des Geräts zu verhindern, müssen IT-Verantwortliche den verfügbaren Softwareflicken anwenden. Allein in Australien hat der ASD in diesem Jahr mehr als 400 potenziell mit Badcandy kompromittierte Geräte gefunden, Ende Oktober waren es noch immer mehr als 150 Cisco-Geräte – der ASD hat Opfern Benachrichtigungen mit Anleitungen zum Patchen, Rebooten und Härten der Geräte geschickt.
Die Shadowserver Foundation hat nun auf Mastodon ebenfalls aktualisierte Zahlen veröffentlicht. Demnach sind weltweit noch rund 15.000 Cisco-IOS-XE-Geräte mit einer bösartigen Hintertür versehen. Ebenso seien häufige Re-Infektions-Kampagnen zu beobachten. In der Aufschlüsselung nach Ländern von der Shadowserver Foundation sind in Deutschland derzeit 90 Cisco-Geräte mit Badcandy unterwandert – damit liegt die Bundesrepublik auf Platz 33 der Liste. Dennoch ist das ein Hinweis, dass hier IT-Verantwortliche ebenfalls noch aktiv werden müssen. Möglicherweise wurde aufgrund des non-persistenten Patches das eine oder andere Gerät auch nicht als verwundbar erkannt.
Die Cisco-Schwachstelle steht bei Cyberkriminellen offenbar hoch im Kurs. Bereits Ende Juni warnten das FBI und das "Canadian Centre for Cyber Security" davor, dass staatlich gestützte chinesische Cyberbanden die alte Sicherheitslücke noch aktiv ausnutzen. Damals sind sie konkret in ein Netzwerk eines kanadischen Telekommunikationsanbieters eingestiegen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare