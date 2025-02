Cisco-systemen van de TU Delft zijn het doelwit van aanvallers geweest, zo stelt securitybedrijf Recorded Future op basis van eigen onderzoek. De aanvallers worden door het securitybedrijf 'RedMike' genoemd, maar staan ook bekend als 'Salt Typhoon'. Volgens onderzoekers zou de groep wereldwijd meer dan duizend Cisco-systemen hebben geprobeerd aan te vallen. Of de aanvallen succesvol waren wordt niet vermeld.

Bij de aanvallen wordt als eerste gebruikgemaakt van een kwetsbaarheid (CVE-2023-20198) in de gebruikersinterface in Cisco IOS XE, het besturingssysteem dat op netwerkapparaten van Cisco draait. Zodra er via deze kwetsbaarheid toegang is verkregen wordt een tweede beveiligingslek gebruikt (CVE-2023-20273) om rootrechten te krijgen. Naast telecomproviders zijn ook universiteiten doelwit, waarbij Recorded Future de TU Delft bij naam noemt.

Het securitybedrijf stelt dat organisaties, en dan met name in de telecomsector, het patchen van netwerkapparaten die vanaf het internet toegankelijk zijn prioriteit moeten maken. Ongepatchte systemen blijven namen een belangrijke toegangsvector voor aanvallers. De onderzoekers vonden naar eigen zeggen meer dan twaalfduizend Cisco-apparaten waarvan de gebruikersinterface vanaf het internet toegankelijk was.

De twee Cisco-kwetsbaarheden die de aanvallers gebruiken zijn door Cisco als kritiek beoordeeld. Op een schaal van 1 tot en met 10 is de impact van de beveiligingslekken met een 10.0 beoordeeld. Updates voor de problemen zijn sinds 16 oktober 2023 beschikbaar. Toch blijkt dat er nog steeds ongepatchte Cisco-systemen online zijn te vinden. Naast het installeren van patches wordt het monitoren van apparaten, verkeer en configuratieaanpassingen aangeraden.