Cisco IOS XE und die verschwundenen Hintertüren
Die Anzahl der offensichtlich kompromittierten Geräte ist auch in Deutschland schlagartig gefallen, was wohl kaum an den gerade erschienenen Patches liegt.
Die in der vergangenen Woche veröffentlichte kritische Lücke in Cisco IOS XE betraf Hunderttausende Netzwerkgeräte; Unbekannte installierten darüber reihenweise Hintertüren auf Routern und Switches. Diese mittels einfacher HTTP-Abfragen sichtbare Hintertür war auf mehreren Zehntausend Routern und Switches installiert. Am Freitagabend sanken die Infektionszahlen jedoch schlagartig.
Verschiedene Beobachter meldeten, dass die Anzahl der aus dem Web erreichbaren Geräte mit installierter Backdoor am Wochenende praktisch auf null gefallen ist. Augenfällig wird dieser Rückgang etwa bei einer durch das Shadowserver-Projekt veröffentlichten Statistik, die für den 21. Oktober weltweit lediglich 186 "Implants", also installierte Backdoors, aufzeigt. Nur vierundzwanzig Stunden zuvor waren es knapp 34.000 gewesen.
Drastischer Rückgang auch im DACH-Raum
Eigene Messungen von heise Security bestätigen die Beobachtungen: In Deutschland, Österreich und der Schweiz liefert am Vormittag des 23. Oktober nur noch ein Gerät im Netz eines großen Telekommunikationsanbieters den verräterischen 18-stelligen Hashwert aus.
Der Hintergrund dieses plötzlichen Rückgangs ist derzeit unklar. An fleißigen Admins, die ihre Infrastruktur übers Wochenende abgedichtet haben, dürfte es jedoch nicht liegen. Dass sich Zehntausende Techniker weltweit gleichzeitig zur verteilten Update-Party verabreden, scheint arg unwahrscheinlich. Eine Möglichkeit ist, dass die Angreifer ihre Hintertür per Software-Update besser versteckt haben, aber auch ein Hackback ist eine plausible Theorie.
Cisco bietet Updates an
Seit dem 22. Oktober sind erste Aktualisierungen für Cisco IOS XE erhältlich, die die kritische Schwachstelle CVE-2023-29198 beheben. So beseitigen die Versionen 16.12.10a und 17.9.4a die Sicherheitslücke bereits, für die Versionsbäume 17.6 und 17.3 stehen noch keine Flicken bereit. Weitere Patches sind für den Wochenbeginn geplant. Eine detaillierte Liste betroffener Geräte und reparierter Betriebssystemausgaben stellt Cisco auf seiner Website bereit.
Um Missverständnisse zu vermeiden, haben wir im ersten Absatz die Information ergänzt, dass diese Hintertür nachträglich durch bislang unbekannte Angreifer auf den Systemen installiert wurde.
(cku)