Cisco-firewalls al maandenlang doelwit van zeroday-aanvallen
Firewalls van Cisco zijn al maandenlang het doelwit van aanvallen waarbij twee zerodaylekken worden gebruikt, zo heeft het bedrijf zelf laten weten. Bij de aanvallen weten de aanvallers malware op de firewalls te installeren. Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend. Het zerodaylek aangeduid als CVE-2024-20359 maakt het mogelijk voor een aanvaller om willekeurige code met rootrechten op de firewall uit te voeren.
Dit is echter alleen mogelijk als de aanvaller al admintoegang tot de firewall heeft. De andere zeroday, CVE-2024-20353, wordt gebruikt om te voorkomen dat de firewall een crash dump kan genereren, wat details over de aanval bevat. Via de kwetsbaarheid vindt er meteen een reboot van de firewall plaats, wat forensisch onderzoek zo bemoeilijkt.
Zodra de aanvallers toegang tot een Cisco-firewall hebben worden er twee backdoors geïnstalleerd die Cisco "Line Runner" en "Line Dancer" noemt. Via de backdoors wijzigen de aanvallers de configuratie van de firewall, verzamelen netwerkverkeer en kunnen zich lateraal door het netwerk bewegen. De Britse overheid maakte een analyse van beide backdoors (pdf1, pdf2).
Cisco stelt dat begin januari de eerste aanvallen zijn waargenomen waarbij de zerodays zijn ingezet. Vorig jaar juli zouden de aanvallers echter al zijn begonnen met het testen van de aanval. De Australische overheid laat weten dat verschillende firewalls in Australië zijn gecompromitteerd. Cisco heeft updates beschikbaar gemaakt om de zerodays te verhelpen. Volgens het netwerkbedrijf zijn de aanvallen het werk van een statelijke actor en is "klein aantal" klanten doelwit geworden.
Ik kan me voorstellen dat je moet nagaan wat er allemaal om (dat gat) heen zit, wat er allemaal mee gemoeid gaat, maar heb je je prioriteiten wel op orde om daar dan 3 maanden over te doen voordat je dat gat gedicht hebt.
Doet mij vermoeden dat ze zelf hun software niet zo goed meer kennen, te complex geworden door al het gepatch om patchen heen, of dat het één en al gatenkaas is wat eigenlijk niet meer te plakken valt.
Laat me raden: alweer hardcoded login credentials? Nu het uitgelekt is en niet alleen de NSA het weet wordt het gat natuurlijk vervangen door een ander.
zeroday werkt alleen als je al admin bent. hoe wordt je dan admin? en waarom deze zeroday dan nog?
en 3 maanden?
Sarcasme. Altijd leuk en grappig. Heb je ook een alternatief voor "Amerikaanse apparatuur"?
zeroday werkt alleen als je al admin bent. hoe wordt je dan admin? en waarom deze zeroday dan nog?
persistent hidden access (en vast ook zonder loggen van acties) is beter dan leunen op het de hoop dat je admin access blijft werken en niet gezien wordt.
De manier van admin worden is nog onbekend.
Sarcasme. Altijd leuk en grappig. Heb je ook een alternatief voor "Amerikaanse apparatuur"?
Huawei en zte zijn Chinees dus ook niet de beste keuze. Ik zie wel veel zte door providers ingezet. Maar als je vraagt naar een Huawei variant krijg je te horen dat die door china zijn gemaakt en niet worden gelevert. Cisco mag dan wel. Met het wijzen dat de handleiding en doos van zte geen nederlandse text heeft en de doos ook geen engelse text heeft ( handleiding nog net wel een engelse versie) vinden ze heel vreemd. ( Meerdere keren gezien bij vrienden.)
Ik kan me voorstellen dat je moet nagaan wat er allemaal om (dat gat) heen zit, wat er allemaal mee gemoeid gaat, maar heb je je prioriteiten wel op orde om daar dan 3 maanden over te doen voordat je dat gat gedicht hebt.
Doet mij vermoeden dat ze zelf hun software niet zo goed meer kennen, te complex geworden door al het gepatch om patchen heen, of dat het één en al gatenkaas is wat eigenlijk niet meer te plakken valt.
De clue zit hem in de eerste alinea.... 'Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend', maar blijkbaar is lezen lastig.
Cisco is wat mij betreft een beetje passé. Echter ze hebben nog steeds wel producten die uniek zijn.
Daarnaast is het nog steeds een soort industrie-standard.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.