Cisco-routers actief aangevallen via lek in Cisco Discovery Protocol
Een kwetsbaarheid in verschillende Cisco-routers waardoor het mogelijk is om willekeurige code op de apparaten uit te voeren wordt actief aangevallen, zo heeft de netwerkfabrikant bekendgemaakt. Het beveiligingslek, CVE-2020-3118, is aanwezig in een implementatie van het Cisco Discovery Protocol (CDP) voor de Cisco IOS XR Software. Het besturingssysteem dat op Cisco-routers draait.
CDP is een netwerkprotocol dat Cisco-apparaten gebruiken om informatie over andere op het netwerk aangesloten apparaten te verzamelen. Door een kwaadaardig CDP-pakket naar een router te versturen kan een aanvaller een stack overflow veroorzaken, waardoor het mogelijk is om op de router willekeurige code met beheerdersrechten uit te voeren.
Cisco bracht in februari van dit jaar beveiligingsupdates voor het probleem uit. De kwetsbaarheid was aanwezig in ASR 9000, IOS XRv 9000 en Network Convergence System (NCS) 540, 560, 1000, 5000, 5500 en 6000 series routers. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,8 is beoordeeld, is volgens Cisco alleen te misbruiken door een "aangrenzende aanvaller" in hetzelfde broadcast domain als het aangevallen apparaat.
Gisteren kwam de NSA met een Top 25 van kwetsbaarheden die volgens de Amerikaanse geheime dienst door China worden gebruikt om organisaties aan te vallen. Het Cisco-lek stond ook in deze lijst vermeld. Gelijktijdig voorzag Cisco de advisory van een update waarin het laat weten dat misbruik van de kwetsbaarheid is waargenomen.
Het aan laten staan van CDP op een WAN of DMZ interface is zoiezo nooit een goed idee. Op een LAN interface (waar het risico al beperkter is) kun je dit simpelweg oplossen door een apart VLAN tussen je interne netwerk en de router te gebruiken i.c.m. een /30 subnet waar je de router en de switch over laat communiceren, waardoor het ook in het LAN niet direct zichbaar is, tenzij je het naar endpoints aan laat staan, waar dit enkel voor voice VLAN voordelen biedt.
Het aan laten staan van CDP op een WAN of DMZ interface is zoiezo nooit een goed idee. Op een LAN interface (waar het risico al beperkter is) kun je dit simpelweg oplossen door een apart VLAN tussen je interne netwerk en de router te gebruiken i.c.m. een /30 subnet waar je de router en de switch over laat communiceren, waardoor het ook in het LAN niet direct zichbaar is, tenzij je het naar endpoints aan laat staan, waar dit enkel voor voice VLAN voordelen biedt.
Ja achteraf kun je altijd wel oplossingen bedenken die je "had moeten kiezen".
Maar veel mensen gaan er min of meer vanuit dat ze met Cisco spullen in huis halen die op netwerken kunnen worden
ingezet zonder dat je weer allerlei pleisters moet gebruiken.
Anders kun je net zo goed Huawei gebruiken he? (waarschijnlijk is dat ook wel een beter idee...)
Het aan laten staan van CDP op een WAN of DMZ interface is zoiezo nooit een goed idee. Op een LAN interface (waar het risico al beperkter is) kun je dit simpelweg oplossen door een apart VLAN tussen je interne netwerk en de router te gebruiken i.c.m. een /30 subnet waar je de router en de switch over laat communiceren, waardoor het ook in het LAN niet direct zichbaar is, tenzij je het naar endpoints aan laat staan, waar dit enkel voor voice VLAN voordelen biedt.
Ja achteraf kun je altijd wel oplossingen bedenken die je "had moeten kiezen".
Maar veel mensen gaan er min of meer vanuit dat ze met Cisco spullen in huis halen die op netwerken kunnen worden
ingezet zonder dat je weer allerlei pleisters moet gebruiken.
Anders kun je net zo goed Huawei gebruiken he? (waarschijnlijk is dat ook wel een beter idee...)
Is ook wel een beetje logish nadenken dat je services die je niet gebruikt uitschakelt en als je ze wel gebruikt je ze ook correct configrueert. Bij Cisco heb je tenminste nog pleisters en is bekend hoe ze werken. Bij die Chinese prut is dat nog maar de vraag, leg eens uit waarom je daar meer vertrouwen in hebt...
in Amerikaanse merken zoals Cisco) niet echt veel oplevert. Heb je Huawei dan kun je een bug hebben en gaan
vermoeden dat de Chinese overheid hier wel achter zal zitten en een backdoor heeft ingebouwd, maar koop je in
plaats daarvan Cisco dan is de situatie niet anders. Ook daar komt de ene na de andere bug uit waar je als doemdenker
makkelijk van kunt vermoeden dat de CIA hier wel achter zal zitten.
"Cisco Discovery Protocol is not enabled in Cisco IOS XR Software by default."
Plus : Cisco Discovery Protocol is a Layer 2 protocol. To exploit this vulnerability, an attacker must be in the same broadcast domain as the affected device (Layer 2 adjacent).
Oftewel je moet een aangrenzend apparaat in hetzelfde vlan hebben. Dat maakt de aanval vector wel even anders natuurlijk. Local LAN attack is mogelijk maar via Internet ? Ja nogmaals op carrier level of zo.
"Cisco Discovery Protocol is not enabled in Cisco IOS XR Software by default."
Plus : Cisco Discovery Protocol is a Layer 2 protocol. To exploit this vulnerability, an attacker must be in the same broadcast domain as the affected device (Layer 2 adjacent).
Oftewel je moet een aangrenzend apparaat in hetzelfde vlan hebben. Dat maakt de aanval vector wel even anders natuurlijk. Local LAN attack is mogelijk maar via Internet ? Ja nogmaals op carrier level of zo.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.