Vor 4 Tagen, am 17. Oktober, haben wir über eine neu identifizierte Sicherheitslücke im Web-Interface von IOS XE, dem Betriebssystem für viele Cisco-Geräte, berichtet. Cisco hatte am Vorabend erstmals vor dieser Lücke gewarnt. Sie wird laut dem Cisco-Security-Team bereits seit dem 18. September von Hackern für Angriffe ausgenutzt.

Einen Patch oder zumindest einen eigentlichen Workaround, der die Funktion von betroffenen Geräten nicht teilweise beeinträchtigt, gibt es bis heute noch nicht. Die einzige von Cisco empfohlene Gegenmassnahme ist es, die HTTP-Server auf betroffenen Geräten, die mit dem Internet verbunden sind, zu deaktivieren. Zusätzlich hat Cisco sein Advisory mittlerweile mit IP-Adressen von Angreifern ergänzt und neue Regeln für das Open Source Intrusion Detection und Response System Snort hinzugefügt.

Anfänglich schätzten Security-Forscher, dass weltweit rund 10'000 Geräte infiziert worden sein könnten. Die Schätzungen sind in den letzten Tagen schnell in die Höhe geschossen. Censys beispielsweise nannte schon am Abend des 17. Oktober eine Zahl von weltweit rund 34'000 kompromittierten Devices, die man mittels Internet-Scans finden konnte. Einen Tag darauf waren es schon über 41'000.

Am gestrigen 19. Oktober waren es dann allerdings wieder nur noch 36'500. Laut Censys wurden rund 5400 infizierte Cisco-Geräte entweder vom Internet genommen oder sie konnten gesichert werden. Dies sei ein positives Anzeichen, offenbar seien sich viele Unternehmen der Gefahr bewusst geworden. Allerdings habe man auch eine zunehmende Zahl von infizierten Routern gefunden, was eine zusätzliche Bedrohung darstellen könnte.