Haben Sie sich jemals gefragt, was passiert, wenn Angreifer unbemerkt in die Sicherheitssysteme von Unternehmen eindringen und wochenlang unentdeckt bleiben? Erfahren Sie, wie Cisco auf einen solchen Einbruch reagiert hat, indem es ein kritisches Update veröffentlicht hat, um seine Kunden vor mit China verbundenen Hackern zu schützen.
Die 3 wichtigsten Informationen
Analysten von Cisco Talos entdeckten Anomalien auf einigen Kundengeräten, die unbekannte administrative Verbindungen offenbarten. Diese unautorisierten Zugriffe wurden durch einen Softwarefehler erleichtert, der unter der Nummer CVE-2025-20393 identifiziert wurde.
Die Angreifer konnten in die Systeme eindringen, ohne gültige Anmeldedaten bereitzustellen, und installierten persistente Zugänge. Sie erstellten Konten, änderten Systemdateien und integrierten Skripte, die Neustarts überstehen konnten. Diese Infiltration zielte darauf ab, eine stabile Präsenz zu etablieren, anstatt einen vorübergehenden Einbruch.
Cisco reagierte schnell, indem es ein Sicherheitsupdate veröffentlichte, um den Zugang der Hacker zu unterbinden. Die Behebung der Schwachstelle löschte jedoch nicht die bereits erstellten Zugänge. Die Unternehmen mussten daher ihre Konfigurationen überprüfen und die Aktivitätsprotokolle inspizieren.
IT-Teams entdeckten häufig Konten oder geplante Aufgaben ohne klare Herkunft, was manchmal eine vollständige Neuinstallation der Systeme erforderte, um eine gesunde Umgebung wiederherzustellen.
Die Messaging-Geräte, die für den Alltag der Unternehmen unerlässlich sind, mussten vorübergehend für Wartungsarbeiten abgeschaltet werden. Dies erforderte eine sorgfältige Koordination, um die Auswirkungen auf die Benutzer zu minimieren.
Diese Situation hat eine organisatorische Schwäche aufgezeigt: die unzureichende Überwachung von Zwischenanlagen, die oft vernachlässigt werden, wenn sie ohne offensichtliche Vorfälle funktionieren.
Die Hacking-Operationen wurden der Gruppe UAT-9686 zugeschrieben, die für ihre diskreten und langanhaltenden Zugriffsmethoden bekannt ist, die bereits in anderen mit China verbundenen Kampagnen beobachtet wurden. Cisco stützte diese Zuordnung auf technische Elemente wie die verwendeten Methoden, die Aktivitätszeiten und bestimmte Infrastrukturen.
Diese Gruppe zeichnete sich durch ihre Fähigkeit aus, Software-Schwachstellen auszunutzen, um ohne Autorisierung auf Zielsysteme zuzugreifen, was die Bedeutung für Unternehmen unterstreicht, stets wachsam zu bleiben und ihre Sicherheitssysteme regelmäßig zu aktualisieren.
Quelle: