Cisco VPN's kwetsbaar voor DoS-aanvallen
Een beveiligingslek in een van de protocollen die door Cisco VPN 3000 modellen wordt gebruikt, zorgt ervoor dat de apparaten kwetsbaar zijn voor een denial of service aanval. Het probleem zit hem in het Internet Key Exchange (IKE) Protocol, dat voor remote IPsec VPN toegang zorgt. Door het sturen van talloze IKE requests kan het apparaat legitiem verkeer niet meer verwerken.
Aanvallers hoeven niet ingelogd te zijn om het lek te misbruiken omdat dit voor het authenticatie gedeelte gebeurt. Intrusion detection en prevention systemen bieden ook geen uitkomst, omdat het DoS-verkeer uit legitieme IKE pakketten bestaat.
De Cisco VPN 3000 modellen ondersteunen 200 tot 10.000 gelijktijdige remote IPsec verbindingen. Cisco waarschuwt dat klanten zich kunnen beschermen door de Call Admission Control (CAC) voor IKE te implementeren, die het aantal gelijktijdige verbindingen op een router beperkt.
Volgens de netwerkgigant is het lastig om een patch te ontwikkelen, en zoekt het naar mogelijk software "workarounds" om de impact van het lek te beperken.
meteen weer waarom ik mijn Cisco heb laten verlopen... Wat
een stelletje loosers. Wanneer je 10.000 gelijktijdige VPN
tunnels kunt bouwen, zorg je maar voor dat je handling
backbone zoveel meuk kan verwerken... PUNT. Als je een
1000mbps of 3000mbps input kunt verwachten, zorg je maar
voor dat die roestbak van jou ook 3000mbps aan bullshit kan
verwerken.. PUNT. Traag worden mag, maar niet eruit klappen.
Cisco lijkt meer en meer op die toko waar ze heel veel mee
samenwerken... Klinkt als soft... Verzin een baggerproduct,
gooi der wat dollars marketing tegenaan, en als er iets mis
is of het systeem is 1 groot ontwerpfout, net doen of je
neus bloedt... Tenzij je der echt niet meer onderuit kunt,
dan ga je 1 keer in de maand patchen... En natuurlijk doe je
dat niet eens goed de eerste keer.
implementation, but to underlying issues in the IKE
protocol, and may affect any device which implements IKE
version 1."
Het is al heel lang bekend dat Aggressive Mode kwetsbaar is
voor denial of service. Maar volgens de melder van het
probleem is ook Main Mode kwetsbaar. Dat is wel nieuw, dacht ik.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.