Es war eine spektakuläre Aktion: Die Sicherheitsspezialisten von SECUINFRA haben Angreifer dabei ertappt, wie diese Schwachstellen des Betriebssystem IOS XE ausnutzten. Vor etwa zwei Wochen bereits veröffentlichte das SECUINFRA Falcon Team ein technisches Advisory über die Gefahr durch zwei neue Schwachstellen in Cisco Appliances, von denen Tausende internet-exponierte Geräte betroffen sind.
Um einen Einblick in den Modus Operandi der Angreifer und die Funktionsweise der Schwachstellen zu erhalten, haben die Security-Experten mehrere Honeypots (absichtlich verwundbare Systeme) eingerichtet, um diese Details zu erfassen. Das Falcon-Team von SECUINFRA hat dazu ein GitHub-Repository veröffentlicht, um relevante Protokolldateien und andere Erkenntnisse mit der Klassifizierung TLP:CLEAR mit der Community zu teilen. Darüber hinaus werden aktuelle Indicators of Compromise und weitere Details über X (ehemals Twitter) und Mastodon kommuniziert.
Am 28. Oktober konnten die Sicherheitsexperten einen Paketmitschnitt eines Angriffs auf zwei ihrer Honeypots aufzeichnen, der Informationen über die Authentication Bypass-Schwachstelle CVE-2023-20198 enthielt. SECUINFRA teilt diese Informationen unter der TLP:AMBER-Klassifizierung mit reputablen Forschern der Cybersicherheits-Community, um die Erkennungsmechanismen für diese Schwachstelle zu verbessern. Das Team von SECUINFRA bedankt sich bei den folgenden Organisationen für die Zusammenarbeit in diesem Fall: Emerging Threats Labs, Corelight, Microsoft, Netresec, Nozomi Networks, Vulncheck, DIVD und LeakIX.
Darüber hinaus veröffentlichte Horizon3.ai einen Blogbeitrag über das Innenleben der besagten Schwachstelle, nachdem die von uns über X weitergegebenen Informationen ihre vorherige Hypothese bestätigten. Über diesen Proof-of-Concept wurde von mehreren Cybersecurity-Newsportalen berichtet, beispielsweise von BleepingComputer und Heise.
SECUINFRA ist offen für die Zusammenarbeit in zukünftigen Fällen dieser Art. Wenn Sie interessiert sind, schicken Sie den Sicherheitsexperten eine Nachricht! Die neuesten Forschungen zum Thema veröffentlicht das SECUINFRA FalconTeam auf X (ehemals Twitter) und Mastodon.