Op internet zijn meer dan 39.000 Cisco-routers te vinden die publieke SNMP-services draaien en daardoor risico op aanvallen lopen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Het Simple Network Management Protocol (SNMP) maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden toegang tot het apparaat te krijgen.

Eerder deze maand kwamen het Britse National Cyber Security Centre (NCSC), de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en de FBI met een gezamenlijke advisory waarin ze stelden dat een Russische spionagegroep aangeduid als APT28 in 2021 misbruik had gemaakt van SNMP-kwetsbaarheiden om Cisco-routers te compromitteren.

De diensten adviseerden organisaties om SNMP niet te gebruiken, tenzij dit noodzakelijk is voor het configureren of beheren van apparaten. In het geval SNMP nodig is werd aangeraden om allow- en deny-lijsten te gebruiken, om zo ongeautoriseerde toegang tot routers te voorkomen. Censys deed een online scan en vond meer dan 39.000 Cisco waarvan de SNMP-services vanaf internet toegankelijk zijn.

"Het identificeren van deze blootgestelde apparaten was eenvoudig voor ons, net zoals het voor een aanvaller zou zijn", aldus Censys. De meeste van de gevonden Cisco-routers bevinden zich in de Verenigde Staten en Rusland. Beheerders van Cisco-routers worden aangeraden hun apparatuur te updaten en SNMP te beveiligen.