image

Canadese overheid meldt aanval op telecombedrijf via bekend Cisco-lek

maandag 23 juni 2025, 09:23 door Redactie, 1 reacties

Een Canadees telecombedrijf is afgelopen februari gecompromitteerd via een bekende kwetsbaarheid in Cisco IOS XE waarvoor sinds oktober 2023 beveiligingsupdates beschikbaar zijn. Al voor het uitkomen van de patches wordt er actief misbruik van de kwetsbaarheid gemaakt. Waarom het niet nader genoemde telecombedrijf updates voor een bekend aangevallen lek al anderhalf jaar niet had geïnstalleerd laten het Canadese Centrum voor Cybersecurity en de FBI niet in hun waarschuwing weten (pdf).

Cisco IOS XE is een besturingssysteem dat op switches en routers van het netwerkbedrijf kan draaien en wordt omschreven als een 'nieuwe en verbeterde' versie van Cisco's IOS-besturingssysteem. Een kwetsbaarheid (CVE-2023-20198) in de web user interface van IOS XE maakt het mogelijk voor een ongeauthenticeerde aanvaller om een account met 'privilege 15' aan te maken. Via dit account kan de aanvaller controle over het systeem krijgen. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0

Via de kwetsbaarheid konden aanvallers drie systemen van het Canadese telecombedrijf compromitteren. Vervolgens werden configuratiebestanden van de apparaten gedownload en van zeker één apparaat aangepast. De aanvallers configureerden een GRE (Generic Routing Encapsulation) tunnel voor het verzamelen van netwerkverkeer van het apparaat. "Een GRE-tunnel is een logische interface op een router die een manier biedt om netwerkprotocolpakketten in een transportprotocol in te kapselen", aldus de uitleg van Cisco.

Volgens de FBI en het Canadese Centrum voor Cybersecurity gaat het om een spionageaanval uitgevoerd door een groep aanvallers genaamd Salt Typhoon. Deze groep zou door de Chinese staat gesteund worden. "Telecomnetwerken behoren tot de belangrijkste spionagedoelwitten voor door staten gesteunde cyberactoren", zo stellen de Amerikaanse en Canadese overheidsdiensten. De aanvallen zouden mogelijk breder zijn dan alleen de telecomsector. De waarschuwing wordt afgesloten met links naar adviezen om netwerkapparaten te beveiligen.

Reacties (1)
24-06-2025, 10:23 door Anoniem
Of dit is niet het hele verhaal , of ze zijn totaal incompetent bij dit Canadese telecombedrijf, nog naast het niet patchen:

- Waarom staat de webinterface aan? Een telecom bedrijf zal normaal zijn routers in de management tooling hangen en alle overige meuk in de router uit zetten
- Hoezo hebben ze ongeautoriseerde config wijzigingen niet door? Hebben ze geen config management tooling?
- Een router met een extra interface, dat zou ook in je netwerk monitoring tootling op moeten vallen, hoezo hebben ze dit niet gezien?
- Een GRE tunnel die vanaf een router in je netwerk naar buiten komen? Als dit kan is de filtering naar buiten toe niet op orde.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.