Cisco-Firewall-Lücke: Ransomware-Gruppe nutzt Zero-Day seit Januar

Eine kritische Schwachstelle in Cisco-Firewalls wird aktiv für Erpressungsangriffe genutzt. Das belegen aktuelle Analysen von Amazon Threat Intelligence. Die Ransomware-Gruppe Interlock nutzt die sogenannte Zero-Day-Lücke bereits seit Ende Januar aus – über einen Monat, bevor Cisco einen Patch liefern konnte.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind: Neue Gesetze verschärfen die Gefahrenlage und IT-Experten warnen vor teuren Konsequenzen bei Sicherheitslücken. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen Maßnahmen effektiv schützen. IT-Sicherheit ohne Budget-Explosion stärken

Amazon-Forscher enttarnen Angriffswelle

Die Sicherheitsteams von Amazon Web Services (AWS) deckten die Angriffe mit ihrem globalen Honeypot-Netzwerk MadPot auf. Ihre Sensoren registrierten erste Ausnutzungsversuche bereits am 26. Januar. Zu diesem Zeitpunkt war die Lücke Cisco noch unbekannt. Die Angreifer hatten somit 36 Tage Vorsprung, bevor der Hersteller am 4. März ein erstes Update veröffentlichte.

Den Ermittlern spielte ein operativer Fehler der Cyberkriminellen in die Hände. Die Gruppe nutzte einen unzureichend gesicherten Infrastruktur-Server. Diese Fehlkonfiguration ermöglichte es AWS, das komplette operative Arsenal der Gang zu analysieren. Cisco bestätigte die aktive Ausnutzung der Lücke am 18. März offiziell.

So funktioniert die maximale Gefahr CVE-2026-20131

Im Zentrum steht die Schwachstelle CVE-2026-20131 im Cisco Secure Firewall Management Center (FMC). Experten stufen das Risiko mit dem maximalen CVSS-Wert von 10,0 ein. Der Fehler liegt in einer unsicheren Verarbeitung von Java-Byte-Streams.

Das erlaubt unauthentifizierten Angreifern, aus der Ferne beliebigen Code mit Root-Rechten auszuführen. Nach der Kompromittierung installiert die Schadsoftware eine im Arbeitsspeicher residente Web-Shell. Diese legt keine Dateien auf der Festplatte ab und ist für Antivirenprogramme kaum erkennbar. Zudem löschen die Skripte alle fünf Minuten Systemprotokolle und nutzen Proxys zur Verschleierung.

Warum auch Verbraucher betroffen sind

Die attackierten Unternehmens-Firewalls schützen auch die Infrastruktur, mit der Verbraucher täglich interagieren. Millionen Nutzer greifen über Smartphones auf Gesundheitsportale, städtische Dienste und Unternehmensnetzwerke zu. Mobile VPNs und Cloud-Dienste verlassen sich auf die Integrität genau dieser Cisco-Geräte. Fallen diese Schutzschilde, sind persönliche Datenbanken schutzlos.

Die Interlock-Gruppe zielt gezielt auf kritische Infrastrukturen in Nordamerika und Europa. Bekannte Opfer sind medizinische Einrichtungen wie der Dialyse-Anbieter Davita und Kettering Health. Dabei wurden lebenswichtige Behandlungen gestört und sensible Patientendaten veröffentlicht. Auch die Stadtverwaltung von Saint Paul wurde getroffen – der Datenraub führte zur Ausrufung des nationalen Notstands.

Besorgniserregender Trend: Angriffe auf Schutzsysteme

Die Vorfälle reihen sich in einen beunruhigenden Trend ein. Staatliche Hacker und Erpresserbanden nehmen zunehmend sogenannte Edge-Geräte ins Visier. Systeme, die eigentlich den Netzwerkrand schützen sollen – wie Firewalls und VPN-Gateways –, werden selbst zum Einfallstor. Sicherheitsverantwortliche aus dem Finanzsektor beobachten, dass ein unverhältnismäßig großer Teil kritischer Vorfälle genau diese Schutzsysteme betrifft.

Cisco-Kunden mussten in den vergangenen Wochen eine flut an aktiv ausgenutzten Schwachstellen bewältigen. Dazu gehören kürzlich entdeckte Zero-Day-Lücken in SD-WAN-Systemen. Die Geschwindigkeit, mit der Ransomware-Gruppen wie Interlock nun komplexe Exploits entwickeln, alarmiert die Branche.

Hacker nutzen immer raffiniertere Methoden und psychologische Muster, um in Unternehmensnetzwerke einzudringen und Rekord-Schäden zu verursachen. Dieser Experten-Guide bietet eine 4-Schritte-Anleitung zur erfolgreichen Abwehr und zeigt wirksame Schutzmaßnahmen gegen aktuelle Bedrohungen. Kostenlosen Anti-Phishing-Guide herunterladen

Was bedeutet das für die Zukunft?

IT-Sicherheitsexperten erwarten eine anhaltend hohe Bedrohungslage. Da die Werkzeuge von Interlock nun teilweise bekannt sind, könnten andere Kriminelle die Angriffsmuster kopieren. Unternehmen und Behörden stehen unter Zugzwang, die Cisco-Updates umgehend zu installieren und ihre Netzwerke auf Kompromittierungen zu prüfen.

Für Verbraucher heißt das: Die Wachsamkeit im Umgang mit persönlichen Daten muss steigen. Selbst moderne Sicherheitsinfrastrukturen großer Konzerne können wochenlang unbemerkt manipuliert werden. Datenschutzexperten raten zur genauen Überwachung eigener Konten.

boerse | 68913953 |