Tienduizenden Cisco-apparaten kwetsbaar voor NSA-aanval
Ondanks het verschijnen van een beveiligingsupdate van Cisco zijn nog altijd tienduizenden apparaten van de netwerkgigant kwetsbaar voor een onlangs ontdekte aanval van de NSA. Het gaat om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait. Dergelijke apparatuur wordt vooral door bedrijven, overheidsinstellingen en organisaties gebruikt.
Een persoon of groep die zichzelf Shadow Brokers noemt publiceerde halverwege augustus een verzameling van tools, exploits en malware van een spionagegroep genaamd de Equation Group. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om malware en tools van de Amerikaanse inlichtingendienst NSA gaat.
Eén van de exploits, genaamd EXTRABACON, richt zich op de Cisco ASA-software en maakt gebruik van een kwetsbaarheid waarvoor op het moment van de ontdekking nog geen patch bestond. Via de exploit, die op afstand is uit te voeren, kan een aanvaller door het versturen van een SNMP-pakket volledige controle over het systeem krijgen. Op 24 augustus kwam Cisco met beveiligingsupdates om het probleem te verhelpen.
Kwetsbaar
Om de kwetsbaarheid aan te vallen moeten ASA-apparaten SNMP hebben ingeschakeld en moet de aanvaller de mogelijkheid hebben om het apparaat via UDP SNMP te bereiken. Ook moet de aanvaller telnet- of ssh-toegang tot het apparaat hebben. Hierdoor is de grootste kans om de aanval uit te voeren vanaf het bedrijfsnetwerk. Bijvoorbeeld van een netwerkgedeelte dat SNMP- en telnet/ssh-toegang tot een kwetsbaar apparaat heeft, zo stelt beveiligingsbedrijf Rapid7.
Toch zijn er op internet ook Cisco ASA-apparaten te vinden. Rapid7 besloot dan ook een scan op internet uit te voeren en ontdekte meer dan 50.000 Cisco ASA ssl-vpn-apparaten, waarvan 1310 in Nederland. Vervolgens wilden de onderzoekers kijken hoeveel van deze apparaten niet gepatcht waren. Iets dat kon worden vastgesteld op basis van de uptime. Een apparaat dat sinds het uitkomen van de beveiligingsupdate niet is gereset, is technisch kwetsbaar. Van zo'n 12.000 toestellen bleek het niet mogelijk om de timestamp te achterhalen.
Van de ruim 38.000 waarbij dit wel lukte bleek dat slechts 10.000 er sinds het uitkomen van de update opnieuw waren gestart. Dit houdt in dat er ruim 28.000 apparaten technisch kwetsbaar zijn. Daarbij moet worden opgemerkt dat het hier om ASA-apparaten gaat die via internet konden worden gevonden. Het aantal ASA-apparaten dat niet zichtbaar is, is mogelijk nog veel groter, wat mogelijk ook voor het aantal ongepatchte apparaten geldt.
Ik had dat ook wel kunnen vertellen zonder een scan uit te voeren.
Grote kans dat dit ligt aan het niet hebben van support contracten bij cisco (bijvoorbeeld door aankopen van gebruikte apparatuur) en geen interesse hebben in risico's voor de organisatie en helemaal geen patch management hebben.
Een serieus bedrijf doet risk driven patch management, dus die schatten risico in en bepalen op basis daarvan hoe snel de patch moet worden uitgerold. Als het echt nodig is (en firewalls met Internet visability en lekken vallen daar onder) dan kan zo'n patch ook met het hele ITIL proces nog steeds heel snel worden uitgerold. En sowieso staan SNMP, telnet en ssh nooit open voor het Internet (least privilege principle).
En je moet van een host gebruik maken welke toegang heeft tot SNMP op het device..
Dus ook al staan de device aangesloten op "het internet" wil dat nog niet zeggen dat ze ooko SNMP toelaten vanaf het internet.
Telnet vanaf het internet is al niet mogelijk.
Een serieus bedrijf doet risk driven patch management, dus die schatten risico in en bepalen op basis daarvan hoe snel de patch moet worden uitgerold. Als het echt nodig is (en firewalls met Internet visability en lekken vallen daar onder) dan kan zo'n patch ook met het hele ITIL proces nog steeds heel snel worden uitgerold. En sowieso staan SNMP, telnet en ssh nooit open voor het Internet (least privilege principle).
Volgens mij heb jij het boekje gelezen maar nog nooit praktijk situaties gezien.
Er zijn vele bedrijven die SSH toegang vanaf het internet hebben openstaan, alleen al om behaar "gemakkelijker" te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.