image

840.000 Cisco-apparaten kwetsbaar voor NSA-gelinkt lek

woensdag 21 september 2016, 14:39 door Redactie, 8 reacties

Ruim 840.000 netwerkapparaten van fabrikant Cisco zijn kwetsbaar voor een beveiligingslek dat aan de Amerikaanse inlichtingendienst NSA is gelinkt, waarvan bijna 18.000 apparaten zich in Nederland bevinden. Via de kwetsbaarheid kan een aanvaller op afstand de inhoud van het geheugen van netwerkapparaten uitlezen en zo toegang tot allerlei vertrouwelijke informatie krijgen.

Cisco waarschuwde deze week voor de kwetsbaarheid die actief wordt gebruikt om "sommige klanten" aan te vallen, aldus de netwerkgigant. Het beveiligingslek werd ontdekt tijdens onderzoek naar een aanvalsprogramma van de NSA. Halverwege augustus verscheen op internet een collectie met allerlei tools en exploits van de Equation Group om netwerkapparaten mee aan te vallen. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om tools van de NSA gaat.

Eén van de tools, met de naam BENIGNCERTAIN, bleek een exploit voor Cisco PIX-apparaten te zijn. De Cisco PIX (Private Internet eXchange) was een populaire ip-firewall en network address translation (NAT) appliance die sinds 2008 niet meer door Cisco wordt aangeboden en ook niet meer wordt ondersteund. Na publicatie van de NSA-tool besloot Cisco een onderzoek naar BENIGNCERTAIN in stellen om te kijken of ook andere netwerkapparaten kwetsbaar zijn. Dit resulteerde in de ontdekking van een soortgelijke kwetsbaarheid. Dit beveiligingslek is aanwezig in netwerkapparaten waarop Cisco IOS, Cisco IOS XE en Cisco IOS XR draait.

De in Nederland gevestigde Shadowserver Foundation, een organisatie die zich met de bestrijding van botnets bezighoudt, besloot een scan op internet uit te voeren om te kijken hoeveel Cisco-apparaten via de kwetsbaarheid zijn aan te vallen. Dit resulteerde in 840.681 ip-adressen, waarvan 17.812 in Nederland. De meeste kwetsbare apparaten bevinden zich in de Verenigde Staten, namelijk 255.606. De onderzoekers willen de scanresultaten gebruiken om de beheerders van de netwerkapparaten te informeren. Een beveiligingsupdate van Cisco om het probleem te verhelpen is echter nog niet beschikbaar.

Reacties (8)
21-09-2016, 18:56 door Anoniem
"Een beveiligingsupdate van Cisco om het probleem te verhelpen is echter nog niet beschikbaar."

Waarom zou er een patch moeten komen?

Denkt iemand dat een partij die steunt op een security ding dat in 2008 al 'end of life' was, een patch policy heeft die deze patch oppakt?
21-09-2016, 21:22 door Anoniem
In eerste instantie heeft alleen de PIX het probleem maar uit het verhaal is op te maken dat Cisco's IOS een soortgelijke kwetsbaarheid heeft.
In potentie betekend dit dat het grootste deel van Cisco's apparatuur de kwetsbaarheid kan bevatten omdat IOS het standaard OS is voor routers en switches.
Voor updates moet je bovendien een support contract hebben dus grote kans dat een veel apparaten niet gepatched gaan worden.
21-09-2016, 21:58 door Anoniem
Door Anoniem: "Een beveiligingsupdate van Cisco om het probleem te verhelpen is echter nog niet beschikbaar."

Waarom zou er een patch moeten komen?

Denkt iemand dat een partij die steunt op een security ding dat in 2008 al 'end of life' was, een patch policy heeft die deze patch oppakt?

Een soortgelijke bug zit in bijna alle Cisco Apparatuur. En alleen de Nexus Switches draaien op de niet genoemde NX versie voor grote datacenters.


Je kan ook concluderen dat er ongeveer 17.812 Cisco's buiten die paar datacenter switches :)


Het gaat dus niet om een patch voor de apparatuur uit 2008, maar om een patch voor alle huidige apparatuur. Alleen dat zetten ze liever iets genuanceerder neer.
21-09-2016, 22:00 door Anoniem
Door Anoniem: "Een beveiligingsupdate van Cisco om het probleem te verhelpen is echter nog niet beschikbaar."

Waarom zou er een patch moeten komen?

Denkt iemand dat een partij die steunt op een security ding dat in 2008 al 'end of life' was, een patch policy heeft die deze patch oppakt?

Een soortgelijke bug zit in bijna alle Cisco Apparatuur. En alleen de Nexus Switches draaien op de niet genoemde NX versie voor grote datacenters.

Het gaat dus niet om een patch voor de apparatuur uit 2008, maar om een patch voor alle huidige apparatuur als die feature enabled is. Alleen dat zetten ze liever iets genuanceerder neer.
22-09-2016, 12:37 door Anoniem
Het betekend heel veel, het betekend dat je Cisco (Juniper had ook een vergelijkbaar lek) apparatuur niet meer kan vertrouwen. Wie zegt dat een ACL op Cisco werkt voor de NSA? Dat soort aanamen moet je checken. Bijvoorbeeld door een SYN scan op je Router met ACL af te vuren en met een sniffer kijken naar mogelijk SYN,ACK die de router toch terug geeft voor bepaald IP space ;-)
22-09-2016, 16:07 door Anoniem
"Een beveiligingsupdate van Cisco om het probleem te verhelpen is echter nog niet beschikbaar."

.....
Hardware van 8 jaar oud is afgeschreven.. Dus waarom inderdaad een patch, weg met die oude obsolete hardware.
22-09-2016, 17:24 door Anoniem
Door Anoniem: "Een beveiligingsupdate van Cisco om het probleem te verhelpen is echter nog niet beschikbaar."

.....
Hardware van 8 jaar oud is afgeschreven.. Dus waarom inderdaad een patch, weg met die oude obsolete hardware.

Beter lezen.
De bug die in de Pix (obsolete) en ASA lijn (niet obsolete) zat blijkt ook aanwezig in de IOS/IOS-XR/IOS-XR (niet obsolete).
Voor de IOS'en is nog geen patch beschikbaar, en die gaat er zsm komen.
22-09-2016, 18:16 door Anoniem
Door Anoniem:
Door Anoniem: "Een beveiligingsupdate van Cisco om het probleem te verhelpen is echter nog niet beschikbaar."

.....
Hardware van 8 jaar oud is afgeschreven.. Dus waarom inderdaad een patch, weg met die oude obsolete hardware.

Beter lezen.
De bug die in de Pix (obsolete) en ASA lijn (niet obsolete) zat blijkt ook aanwezig in de IOS/IOS-XR/IOS-XR (niet obsolete).
Voor de IOS'en is nog geen patch beschikbaar, en die gaat er zsm komen.

Ook ik moet (iets) beter lezen.

De bug waarbij IPSec credentials kunnen lekken wordt gedeeld tussen Pix (obsolete) en IOS/IOS-XE/IOS-XR (niet obsolete).
Cisco ASA (niet obsolete) staat niet in de advisory .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.