Censys: Die meisten öffentlich erreichbaren REDCap-Server laufen mit veralteter Software

Zusammenfassung

Weltweit sind rund 8.500 REDCap-Instanzen aus dem Internet erreichbar, doch nur etwas mehr als 1 Prozent davon betreiben nach Angaben des Internet-Intelligence-Anbieters Censys die aktuell verfügbare Version. Das ist besonders brisant, weil ältere REDCap-Server laut Google Threat Intelligence Group regelmäßig von der China-nahen Gruppe UNC6508 ins Visier genommen werden. REDCap ist eine browserbasierte Plattform zur Erstellung und Verwaltung klinischer Forschungsdaten und wird von der Vanderbilt University entwickelt. Genutzt wird sie in akademischen Einrichtungen, im Gesundheitswesen und bei gemeinnützigen Organisationen. Bereits in einem Bericht vom Juni hatte die Google Threat Intelligence Group beschrieben, dass Legacy-Server von REDCap wiederholt für Cyberespionage angegriffen werden. Dabei kompromittierte UNC6508 seit September 2023 webseitig erreichbare REDCap-Server bei großen medizinischen, akademischen und militärischen Forschungseinrichtungen in den USA und platzierte maßgeschneiderte Malware zum Abgreifen von Zugangsdaten.

Im Mittelpunkt der neuen Censys-Auswertung steht der Versionsstand der öffentlich erreichbaren REDCap-Systeme. Demnach laufen knapp 30 Prozent der beobachteten Instanzen mit REDCap 16.0.17. Dahinter folgen Version 16.1.4 mit 4,93 Prozent und Version 16.0.15 mit 3,34 Prozent.

Censys verweist darauf, dass sich aus der REDCap-Website nicht klar ableiten lasse, wann die einzelnen Versionen veröffentlicht wurden. Die Existenz von Releases der Reihe 17.x.x deute jedoch darauf hin, dass Versionen aus der 16er-Linie inzwischen veraltet sein könnten. Als aktuell verfügbare Version nennt Censys REDCap 17.1.3. Zum Stand vom 16. Juni 2026 liefen nur 1,18 Prozent der Instanzen mit dieser Patch-Version.

Wie relevant das Thema ist, zeigt der Bericht der Google Threat Intelligence Group aus dem Juni. Demnach werden Legacy-REDCap-Server routinemäßig von UNC6508 angegriffen, einer Bedrohungsgruppe mit Verbindungen nach China, die laut GTIG zu Zwecken der Cyberspionage vorgeht.

Nach Angaben von GTIG begann die beobachtete Kampagne im September 2023 und richtete sich gegen große medizinische, akademische und militärische Forschungseinrichtungen in den USA. Die Angreifer kompromittierten öffentlich erreichbare REDCap-Server und installierten eigens entwickelte Malware, um Anmeldeinformationen abzugreifen.

In einem Fall setzten die Angreifer drei Monate nach dem ersten Eindringen die Hintertür InfiniteRed ein. Nachdem die Gruppe ein Jahr lang unentdeckt geblieben war, nutzte sie die erbeuteten Zugangsdaten, um in das interne Netzwerk der betroffenen Organisation einzudringen und Daten abzuziehen.

Wie UNC6508 den jeweiligen REDCap-Server ursprünglich kompromittierte, konnte GTIG nicht bestätigen. Die Analysten gehen jedoch davon aus, dass die Angreifer auf mehreren Systemen nach verwundbaren Legacy-Versionen suchten. Als begünstigend nennt GTIG ein REDCap-Designmerkmal, das es Administratoren erlaube, ältere Software parallel zur aktuellen Version weiterzubetreiben.

Die öffentlich erreichbaren REDCap-Server verteilen sich laut Censys auf 100 Länder. Rund 40 Prozent davon stehen in den USA. Auf das Vereinigte Königreich entfallen 7,4 Prozent, auf Deutschland 4,8 Prozent und auf Australien 3,9 Prozent.

Mit Blick auf das Interesse staatlich unterstützter Angreifer an REDCap empfiehlt Censys Organisationen, ihre Instanzen vollständig zu inventarisieren und sicherzustellen, dass gepatchte Versionen eingesetzt werden. Zudem sollten sie den Empfehlungen des Herstellers folgen und Webserver sowie Datenbankserver getrennt betreiben, wobei die Datenbank hinter einer Firewall abgesichert sein soll.

Censys: Die meisten öffentlich erreichbaren REDCap-Server laufen mit veralteter Software

Ähnliche Artikel

Neueste Artikel