Bemerkenswert an dem Fall ist für Sysdig vor allem das Tempo: Zum Zeitpunkt des ersten Angriffs habe auf GitHub noch kein öffentliches Proof-of-Concept-Repository existiert. “Die Sicherheitsmeldung selbst enthielt genug Details – den Pfad des verwundbaren Endpunkts und den Mechanismus zur Code-Einschleusung über die Flow-Knotendefinitionen –, damit Angreifer einen funktionierenden Exploit ohne weitere Recherche bauen konnten”, erklärt Sysdig.
Die Angreifer setzten CVE-2026-33017 ein, um Schlüssel und Zugangsdaten zu stehlen, die für den Zugriff auf angebundene Datenbanken nötig sind. Damit könnten sie laut Sysdig den Boden für Lieferketten-Angriffe bereiten.
Innerhalb von 48 Stunden nach der Offenlegung beobachtete Sysdig Exploit-Versuche von sechs verschiedenen Quell-IP-Adressen. Die Ausnutzung verlief dabei in mehreren Phasen.
In der Anfangsphase kamen Massen-Scans von vier IP-Adressen, die alle dieselbe Payload auslieferten – mutmaßlich über ein automatisiertes Scan-Werkzeug. Die zweite Phase ging von einer anderen IP-Adresse aus und wechselte zu aktiver Aufklärung; dabei wurde vorbereitete Infrastruktur genutzt, um nach einer Prüfung Payloads auszuliefern. In der dritten Phase, ebenfalls von einer weiteren IP-Adresse aus, beobachtete Sysdig schließlich das Abfließen von Daten.
Die in Phase zwei und drei eingesetzten maßgeschneiderten Skripte sendeten ihre Daten an denselben Command-and-Control-Server. “Diese Überschneidung deutet wahrscheinlich auf einen einzelnen Akteur hin, der über mehrere Proxys oder VPS-Knoten arbeitet, könnte aber auch ein gemeinsam genutztes Exploit-Toolkit widerspiegeln”, so Sysdig.
