Canadese overheid meldt aanval op telecombedrijf via bekend Cisco-lek
Een Canadees telecombedrijf is afgelopen februari gecompromitteerd via een bekende kwetsbaarheid in Cisco IOS XE waarvoor sinds oktober 2023 beveiligingsupdates beschikbaar zijn. Al voor het uitkomen van de patches wordt er actief misbruik van de kwetsbaarheid gemaakt. Waarom het niet nader genoemde telecombedrijf updates voor een bekend aangevallen lek al anderhalf jaar niet had geïnstalleerd laten het Canadese Centrum voor Cybersecurity en de FBI niet in hun waarschuwing weten (pdf).
Cisco IOS XE is een besturingssysteem dat op switches en routers van het netwerkbedrijf kan draaien en wordt omschreven als een 'nieuwe en verbeterde' versie van Cisco's IOS-besturingssysteem. Een kwetsbaarheid (CVE-2023-20198) in de web user interface van IOS XE maakt het mogelijk voor een ongeauthenticeerde aanvaller om een account met 'privilege 15' aan te maken. Via dit account kan de aanvaller controle over het systeem krijgen. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0
Via de kwetsbaarheid konden aanvallers drie systemen van het Canadese telecombedrijf compromitteren. Vervolgens werden configuratiebestanden van de apparaten gedownload en van zeker één apparaat aangepast. De aanvallers configureerden een GRE (Generic Routing Encapsulation) tunnel voor het verzamelen van netwerkverkeer van het apparaat. "Een GRE-tunnel is een logische interface op een router die een manier biedt om netwerkprotocolpakketten in een transportprotocol in te kapselen", aldus de uitleg van Cisco.
Volgens de FBI en het Canadese Centrum voor Cybersecurity gaat het om een spionageaanval uitgevoerd door een groep aanvallers genaamd Salt Typhoon. Deze groep zou door de Chinese staat gesteund worden. "Telecomnetwerken behoren tot de belangrijkste spionagedoelwitten voor door staten gesteunde cyberactoren", zo stellen de Amerikaanse en Canadese overheidsdiensten. De aanvallen zouden mogelijk breder zijn dan alleen de telecomsector. De waarschuwing wordt afgesloten met links naar adviezen om netwerkapparaten te beveiligen.
- Waarom staat de webinterface aan? Een telecom bedrijf zal normaal zijn routers in de management tooling hangen en alle overige meuk in de router uit zetten
- Hoezo hebben ze ongeautoriseerde config wijzigingen niet door? Hebben ze geen config management tooling?
- Een router met een extra interface, dat zou ook in je netwerk monitoring tootling op moeten vallen, hoezo hebben ze dit niet gezien?
- Een GRE tunnel die vanaf een router in je netwerk naar buiten komen? Als dit kan is de filtering naar buiten toe niet op orde.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?