NERDMANInterlock hackte Cisco-Firewalls 36 Tage unbemerkt
Die Ransomware-Gruppe Interlock hat eine kritische Schwachstelle in Ciscos Firepower Management Center ausgenutzt — mit dem höchstmöglichen Schweregrad: CVSS 10.0. 36 Tage lang war die Lücke ein offenes Scheunentor, bevor irgendjemand reagierte.
Was konkret passiert ist
Das FMC ist die zentrale Verwaltungskonsole für Cisco-Firewalls. Wer das FMC kontrolliert, kontrolliert die komplette Netzwerksicherheit eines Unternehmens. Genau das hat Interlock geschafft.
Zahlenbox
- CVSS 10.0** — maximaler Schweregrad, schlimmer geht nicht
- 36 Tage** — Dauer der Zero-Day-Ausnutzung ohne Patch
- 1 Interface** — das Firewall-Management reichte als Einfallstor
Warum das so brisant ist
Ein Zero-Day im Firewall-Management ist kein gewöhnlicher Bug. Das FMC steuert Regeln, Policies und Zugriffsrechte. Wer dort drin ist, kann Sicherheitsregeln umschreiben, Traffic umleiten oder sich unsichtbar machen. Die Angreifer mussten nicht an der Firewall vorbei — sie haben die Firewall übernommen.
Pro (für die Angreifer)
- Volle Kontrolle über Firewall-Policies
- Zugriff auf das gesamte Netzwerk-Management
- 36 Tage unentdeckt operieren
Con (für die Verteidiger)
- Kein Patch verfügbar während der Ausnutzung
- Management-Interface oft schlecht isoliert
- Erkennung extrem schwierig, weil legitime Admin-Schnittstelle missbraucht wurde
Was das bedeutet
Wenn die Sicherheitsinfrastruktur selbst zur Angriffsfläche wird, ist das ein Totalausfall der Verteidigungslinie. Unternehmen, die ihr FMC-Interface nicht strikt vom restlichen Netz isoliert haben, standen komplett offen. Cisco-Kunden sollten dringend prüfen, ob ihre Management-Interfaces nur aus dedizierten Admin-Netzen erreichbar sind.
