Nieuws
image

'Duizenden Cisco IOS XE-systemen inmiddels besmet met malware'

dinsdag 17 oktober 2023, 16:34 door Redactie, 9 reacties

Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde. CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen.

Het besturingssysteem draait op switches en routers van het bedrijf. Het beveiligingslek zit in de webinterface van IOS XE. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt.

"Dit is een slechte situatie, aangezien verhoogde toegang op IOS XE de aanvallers waarschijnlijk toestaat om netwerkverkeer te monitoren, of naar beschermde netwerken te springen, en allerlei man-in-the-middle-aanvallen uit te voeren", zegt Jacob Baines van VulnCheck

Het securitybedrijf heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt.

Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen. De Amerikaanse overheid heeft federale instanties in het land verplicht om deze maatregel uiterlijk 20 oktober te hebben doorgevoerd.

Reacties (9)
Reageer met quote
17-10-2023, 19:01 door Anoniem
ik kom overal plekken tegen waar cisco knutselaars ios-xe routers als firewall gebruiken. knap dat ze het geen probleem vinden om bgp, isis, ofpf en 200 accesslists te gebruiken ipv 1 ECHTE firewall met policy based routing en grwoon 2 vdoms
Reageer met quote
17-10-2023, 19:45 door Anoniem
Dan ben je toch maar weer blij dat je Huawei spullen hebt en geen Cisco :-)
Reageer met quote
17-10-2023, 20:48 door Anoniem
Waarom zou je een dergelijk apparaat willen configureren via internet met behulp van een webpagina?
Reageer met quote
18-10-2023, 08:40 door Anoniem
Door Anoniem: Waarom zou je een dergelijk apparaat willen configureren via internet met behulp van een webpagina?

Dit dus. Die hele interface zou niet internet facing mogen zijn. Daarnaast, een beetje beheerder kan de configs gewoon via de console inkloppen, geen webpagina voor nodig. Dus die http en http secure server gewoon niet inschakelen.
Reageer met quote
18-10-2023, 09:02 door Anoniem
Door Anoniem: Dan ben je toch maar weer blij dat je Huawei spullen hebt en geen Cisco :-)

Nou dat is weer de melding van de dag. De Chinese overheid patch het wel voor je. Dat is ook een eenvoudige manier.

Waarom heb je HTTP aan staan op zo`n ding? Waarom hangt zo`n ding aan het internet!
Reageer met quote
18-10-2023, 10:19 door Anoniem
Ook wanneer de interface niet naar het internet openstaat, maar alleen vanaf binnenuit benaderbaar is, kan deze gewoon gebruikt worden om te "VLAN" hoppen. Ernstig lek, welke gebruikt zal gaan worden in vele bedrijfshacks nu en en de toekomst.
Reageer met quote
18-10-2023, 13:17 door Anoniem
Door Anoniem: ik kom overal plekken tegen waar cisco knutselaars ios-xe routers als firewall gebruiken. knap dat ze het geen probleem vinden om bgp, isis, ofpf en 200 accesslists te gebruiken ipv 1 ECHTE firewall met policy based routing en grwoon 2 vdoms

Wat je beschrijft slaat echt he-le-maal nergens op. Je kan prima je routing protocollen, devices access, inter-vlan filtering uitvoeren op je ios-xe devices met behulp van access-lists. Sterker nog, dit moet je gewoon doen in een multi-layer security design. Daarnaast pas je ook gewoon je firewalls toe in een netwerk. En je vdoms, een Forti term, als er 1 firewall keer op keer lek is gebleken dan zijn het die dingen wel
Reageer met quote
19-10-2023, 13:08 door Anoniem
Door Anoniem: Waarom zou je een dergelijk apparaat willen configureren via internet met behulp van een webpagina?

Jaaa Precies dat, of dit soort hardware direct aan het internet hangen. gewoon zinloos.
Reageer met quote
19-10-2023, 14:39 door Anoniem
Door Anoniem:
Door Anoniem: Waarom zou je een dergelijk apparaat willen configureren via internet met behulp van een webpagina?

Jaaa Precies dat, of dit soort hardware direct aan het internet hangen. gewoon zinloos.

newflash : het Internet bestaat uit routers die gezamelijk het internet ZIJN .
Voor best een redelijk deel Cisco apparatuur , en zeker ook met IOS XE als OS.

Heb je een goed redundant aangesloten bedrijf (of edge ISP ) , dan is je laatste eigen device waar de upstreams aangesloten zitten een _router_ . Niet een/de firewall ,want die is niet zo sterk in routing.

Het enige wat wel erg fout is om dan
1) HTTP(s) als management interface uberhaupt actief te hebben.
2) en uberhaupt dat de mangement plane nog bereikbaar is vanaf 'buiten' . (dat kan en moet je uitzetten/filteren) .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search