China-nahe Hacker zielen in globaler Kampagne auf Cisco-Firewalls ab

Eine mit China verbundene Hackergruppe, die Sicherheitsexperten als Storm-1849 (auch als UAT4356 bekannt) bezeichnet wird, kompromittiert aktiv Cisco-Firewalls, die von Regierungen und großen Unternehmen weltweit eingesetzt werden.

Nach Angaben von Experten der Unit 42 von Palo Alto Networks scannen und nutzen die Hacker eine beliebte Produktlinie von Cisco-Firewalls aus, insbesondere die Cisco Adaptive Security Appliance (ASA)-Produktlinie, die für Regierungsbehörden, Verteidigungsinstitutionen und große Unternehmen in den USA, Europa und Asien von entscheidender Bedeutung ist.

Es ist erwähnenswert, dass Cisco ASA-Appliances besonders wertvolle Ziele darstellen, da sie mehrere Sicherheitsfunktionen vereinen, wie z. B. das Filtern des Netzwerkverkehrs, die Überprüfung auf Viren und die Verwaltung sicherer Verbindungen ( VPNs ), und somit als Gateway zu sensiblen internen Systemen fungieren.

Obwohl CISA und Cisco chinesische Akteure nicht offiziell als Verantwortliche für die Kampagne 2025 benannt haben, fand das Cybersicherheitsforschungsunternehmen Censys zuvor überzeugende Hinweise, die auf China bei damit zusammenhängenden Angriffen im Jahr 2024 hindeuten.

Laut den von der Palo Alto Networks-Einheit Unit 42 veröffentlichten Erkenntnissen , die der Zeitung „The Record“ vorliegen, dauerte diese Kampagne den gesamten Oktober über an. In den USA beobachteten die Forscher Aktivitäten gegen zwölf Netzwerkadressen ( IP- Adressen), die mit Bundesbehörden in Verbindung stehen, sowie gegen elf weitere Adressen von Landes- oder Kommunalbehörden. Interessanterweise stellten die Forscher eine Aktivitätspause zwischen dem 1. und 8. Oktober fest, die ihrer Ansicht nach wahrscheinlich auf die chinesische Goldene Woche zurückzuführen ist.

Die Forscher von Unit 42 stellten außerdem fest, dass die Bedrohung weit über Amerika hinausgeht. Öffentliche Netzwerkadressen in zahlreichen anderen Ländern wurden ebenfalls ins Visier genommen, darunter Indien, Nigeria, Japan, Norwegen, Frankreich, Großbritannien, die Niederlande, Spanien, Australien, Polen, Österreich, die Vereinigten Arabischen Emirate, Aserbaidschan und Bhutan.

Weitere Nachforschungen ergaben, dass Storm-1849 es auch auf US-Finanzinstitute, Militärorganisationen und Rüstungsunternehmen abgesehen hatte. Pete Renals, Leiter der Abteilung für Nationale Sicherheitsprogramme der Einheit 42, erklärte, die Gruppe habe den ganzen Oktober über „konsequent Angriffe auf verwundbare Regierungsgeräte durchgeführt“.

Berichten zufolge nutzen Hacker zwei bekannte Sicherheitslücken in Cisco ASA-Geräten aus, die als CVE-2025-30333 (CVSS 9.9) und CVE-2025-20362 (CVSS 6.5) identifiziert wurden. Dieser kombinierte Angriff ermöglicht ihnen, umfassende und dauerhafte Kontrolle über die Geräte zu erlangen. CVE-2025-30333 ist ein schwerwiegendes Problem, das es einem Angreifer mit VPN-Zugangsdaten erlaubt, eigenen Code auf dem Gerät auszuführen, während CVE-2025-20362 es einem nicht authentifizierten Angreifer ermöglicht, Sicherheitsprüfungen zu umgehen und auf geschützte Bereiche zuzugreifen.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hatte bereits vor einem Monat eine Notfallanweisung herausgegeben , in der alle zivilen Bundesbehörden angewiesen wurden, schnellstmöglich Patches für diese beiden Probleme anzuwenden.

Trotz der Sicherheitswarnungen gingen die Angriffe scheinbar ungehindert weiter. Untersuchungen zeigen zudem, dass die Angreifer Wege gefunden haben, ihren Zugriff selbst nach einem Neustart des Geräts oder einem Systemupdate aufrechtzuerhalten.

Mehrere Sicherheitsexperten haben Hackread.com ihre Einschätzungen zu dieser Entdeckung mitgeteilt. James Maude , Field CTO bei BeyondTrust, betonte, dass man gemäß der CISA-Richtlinie „Ruhe bewahren und die beiden CVEs umgehend beheben“ müsse.

Er betonte außerdem, dass aufgrund der Fähigkeit der Angreifer, Einstellungen zu ändern und den Zugriff aufrechtzuerhalten, jede Organisation, die einen Angriff vermutet, ihre Cisco-Konfigurationen auf die Werkseinstellungen zurücksetzen und alle Passwörter, Schlüssel und Zertifikate ändern muss, bevor sie das Gerät neu konfiguriert.

Heath Renfrow , Mitbegründer und Chief Information Security Officer von Fenix24, bekräftigte, dass die anhaltenden Angriffe bestätigen, dass „Edge-Geräte jetzt primäre Ziele sind, nicht mehr nur sekundäre Infrastruktur“.

Er riet Organisationen, zu überprüfen, ob auf ihren Geräten unterstützte Software läuft, und warnte: „Das alleinige Patchen reicht nicht aus – gehen Sie von einer Kompromittierung aus und führen Sie eine vollständige Überprüfung der Anmeldeinformationen und Protokolle durch.“