Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Veel kleine switches kwetsbaar

02-10-2019, 17:14 door Bitwiper, 14 reacties
Kleinere switches, veelal ingezet door thuisgebruikers en MKB, gebaseerd op de Realtek Managed Switch Controller (RTL83xx) die de referentie-firmware daarvoor gebruiken, zijn kwetsbaar voor (als ik het goed begrijp) unauthenticated remote code execution.

Onder de merken ook Cisco, NetGear, Zyxel, DrayTek en EDIMAX.

Overzicht: https://www.vdoo.com/blog/disclosing-significant-vulnerabilities-network-switches/
PoC: https://packetstormsecurity.com/files/154667/Realtek-Managed-Switch-Controller-RTL83xx-Stack-Overflow.html
Reacties (14)
02-10-2019, 18:16 door Anoniem
Bedankt. Eindelijk een zinnige bijdrage op dit forum. Na alle quatsch!
09-10-2019, 11:51 door Anoniem
Ok. Wat nu?
09-10-2019, 15:32 door Anoniem
Door Anoniem: Ok. Wat nu?

Nu ben je geinformeerd. Duh?
09-10-2019, 16:23 door Bitwiper
Door Anoniem: Ok. Wat nu?
Klikken op de eerste link die ik gaf bijvoorbeeld, en dan lezen? En als je een of meer kwetsbare switches hebt, daar -als je dat nodig acht- iets aan doen? Of voortaan jouw vragen stellen op het forum van the department of silly questions?
09-10-2019, 16:52 door Anoniem
Door Anoniem: Ok. Wat nu?
Kun je controleren als je een switches hebt of die ook kwetsbaar is, dus wel degelijk zinnig.
09-10-2019, 17:38 door Anoniem
Door Anoniem:
Door Anoniem: Ok. Wat nu?
Kun je controleren als je een switches hebt of die ook kwetsbaar is, dus wel degelijk zinnig.
Dan nog, vaak boeit het helemaal niet of je switch kwetsbaar is. Het hangt er vanaf hoe je netwerk in elkaar zit en
wat voor gebruikers daar op zitten, maar in veel gevallen is er helemaal niks aan de hand.
10-10-2019, 08:02 door Bitwiper - Bijgewerkt: 10-10-2019, 08:11
Door Anoniem: ... maar in veel gevallen is er helemaal niks aan de hand.
Klopt. Er zijn ook mensen die 80 jaar roken en niet doodgaan aan kanker, nooit hun gordel omdoen en nooit door de voorruit vliegen, en nooit back-uppen en nooit gegevens kwijtraken.

Er zijn ook mensen die minder risico's nemen en/of in elk geval de kwetsbaarheden en/of bedreigingen willen kennen om zelf keuzes te kunnen maken. Daarom hebben sites als security.nl en mijn bijdragen van dit type bestaansrecht leek mij. Prima als je vindt dat bepaalde beveiligingsmaatregelen overdreven zijn of bijv. nieuwe risico's introduceren, maar beargumenteer dat dan, zonder te generaliseren en/of voor een ander te denken.

Ondanks alle positieve reacties heb ik er steeds minder zin in door troll-bijdragen als die van jou.
10-10-2019, 14:30 door Anoniem
Dan nog, vaak boeit het helemaal niet of je switch kwetsbaar is. Het hangt er vanaf hoe je netwerk in elkaar zit en
wat voor gebruikers daar op zitten, maar in veel gevallen is er helemaal niks aan de hand.

Je kunt ook bij vulnerability management je kop in het zand steken, en zeggen dat kwetsbaarheid ligt aan wat voor gebruikers er gebruik maken van je kwetsbare apparatuur. Inhoudelijk slaat het echter nergens op.
10-10-2019, 15:33 door Anoniem
Het is bekend dat er een groepje is wat bij elke theoretische kwetsbaarheid van de toren loopt te roepen dat de wereld
vergaat. Het is ook bekend dat dit maar een klein groepje is, en dat het meestal zo'n vaart niet loopt.

Leer eens een beetje om risico's in te delen in categorieen en niet aan te nemen dat als er "kwetsbaarheid" staat dan
meteen alles instort. Want dat is helemaal niet zo.
Als je dit beter indeelt en managed dan houd je meer resources over om de ECHT belangrijke zaken aan te pakken.
10-10-2019, 18:24 door Spiff has left the building
Door Anoniem, 15:33 uur:
Het is bekend dat er een groepje is wat bij elke theoretische kwetsbaarheid van de toren loopt te roepen dat de wereld vergaat. [...]
Hoor je hier iemand roepen dat de wereld vergaat? Ik niet. Ik zag enkel een attendering door Bitwiper, niets meer of minder. Zeer gewaardeerd. Dank, Bitwiper.
Net als Bitwiper snap ik niet de reacties zoals die van woensdag 09-10, 17:38, of van donderdag 10-10, 15:33 uur. Ik snap niet de weerstand door sommigen hier tegen het vermelden van kwetsbaarheden. Op een al dan niet willekeurige site met informatie over freeware of wat dan ook is de gebruikerscultuur vaak maar beperkt security gericht, en willen sommige gebruikers zich enkel maar voorzien van informatie betreffend bijvoorbeeld genoemde freeware en niet 'lastig gevallen worden' met security-denken. Op een site als Security.NL snap ik een dergelijke houding volstrekt niet. Wat doet iemand hier wanneer attenderingen op kwetsbaarheden niet gewaardeerd maar afgekamd worden?
10-10-2019, 19:41 door Anoniem
Door Spiff:
Door Anoniem, 15:33 uur:
Het is bekend dat er een groepje is wat bij elke theoretische kwetsbaarheid van de toren loopt te roepen dat de wereld vergaat. [...]
Hoor je hier iemand roepen dat de wereld vergaat? Ik niet. Ik zag enkel een attendering door Bitwiper, niets meer of minder. Zeer gewaardeerd. Dank, Bitwiper.
Mijn kritiek is niet op het melden van kwetsbaarheden, maar op de reactie op de melding dat dit weliswaar zo is maar
dat dit in de typische inzet van deze switches helemaal niet boeit. Het is fijn om te weten dat er wat speelt, maar in veel
gevallen onnodig om daar actie op te nemen als die actie bijvoorbeeld het vervangen van de switch moet zijn.
Updaten van firmware is altijd prima natuurlijk.
11-10-2019, 05:02 door Bitwiper
@Spiff: dank voor de bijval! Ik ging bijna zelf geloven dat betonrot in het fundament voor ICT, je netwerk, niets is om je druk over te maken ;-)

Door Anoniem: Mijn kritiek is niet op het melden van kwetsbaarheden ... Het is fijn om te weten dat er wat speelt ... Updaten van firmware is altijd prima natuurlijk.
Ah.

Door Anoniem: ... . maar in veel gevallen onnodig om daar actie op te nemen als die actie bijvoorbeeld het vervangen van de switch moet zijn.
Aangezien ik nergens schrijf dat je iets zou moeten vervangen, vermoed ik dat jij importeur of verkoper bent van kwetsbare switches (Edimax Eindhoven?) waarvan de fabrikant het niet nodig acht om patches uit te brengen.

Door Anoniem: ... maar dat dit in de typische inzet van deze switches helemaal niet boeit.
Het gaat hier om managed switches zowel van het type "tafelmodel" als 19" rackmount (voorbeeld: https://www.cisco.com/c/en/us/products/switches/small-business-220-series-smart-plus-switches/index.html). Deze zijn aan de luxe kant voor thuisgebruik; de doelgroep lijken kleine en middelgrote organisaties, en het zou mij niet verbazen als je ze ook bij de grote jongens kunt vinden.

Ik heb in meer dan 1 situatie gezien dat tafelmodel switches (met PoE) in vergaderruimtes stonden (ook op plaatsen waar ik, als gast, wat langer alleen gelaten werd - iets waar ik geen misbruik van maak, anders dan te constateren en dit nu hier te schrijven) - waarbij zowel telefoon als computerapparatuur er op was aangesloten. Doorgetrokken VLANs dus.

Tip voor security officers en ISO 27001 auditors (en certificering-voorbereidende medewerkers/consultants): kijk onder vergadertafels en in ruimtes met ontwikkelaars en systeembeheerders uit naar tafelmodel switches, en check of deze connectiviteit hebben met "de rest van het netwerk" (een standalone testopstelling is waarschijnlijk nauwelijks een issue). Nb. in ruimtes voor beheerders (en wellicht devops) is de kans groot dat ook management VLANs daarop beschikbaar zijn.

Maar ook een heel stel 19" exemplaren zijn kwetsbaar. Als je na een stevig ransomware-incident AD opnieuw hebt opgebouwd, lijkt het mij een bijzonder onaangename verrassing als vanuit je netwerkapparatuur de boel binnen de kortste keren opnieuw gecompromitteerd raakt. Succes met het forensische speurwerk naar de bron in zo'n situatie.
11-10-2019, 15:35 door Anoniem
Het is bekend dat er een groepje is wat bij elke theoretische kwetsbaarheid van de toren loopt te roepen dat de wereld vergaat. [...]

Er is werkelijk niemand die dat zegt. Misschien moet je eens naar jezelf kijken. En je afvragen waarom je dit soort afzeik reacties denkt te moeten plaatsen.
11-10-2019, 16:26 door Anoniem
Het is fijn om te weten dat er wat speelt, maar in veel gevallen onnodig om daar actie op te nemen als die actie bijvoorbeeld het vervangen van de switch moet zijn. Updaten van firmware is altijd prima natuurlijk.

De vraag of je aktie moet ondernemen is dan ook afhankelijk van je eigen risk assessment. Dat is altijd zo met kwetsbaarheden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.