'Ruim 14.000 Cisco-routers geïnfecteerd met Badcandy-backdoor'
Wereldwijd zijn ruim veertienduizend Cisco-routers en -switches, waaronder 129 in Nederland, geïnfecteerd met de Badcandy-backdoor, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. De Australische overheid kwam vorige week met een waarschuwing voor de backdoor, die via een uit 2023 stammende kwetsbaarheid op apparaten wordt geïnstalleerd. Hoewel de backdoor al geruime tijd bekend is, zijn er nog tal van Cisco-apparaten die ermee besmet zijn.
Het beveiligingslek, aangeduid als CVE-2023-20198, bevindt zich in de web user interface van IOS XE, het besturingssysteem dat op routers en switches van Cisco draait. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller een account met 'privilege 15' aanmaken en zo controle over het systeem krijgen. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.
Zodra de aanvallers achter de Badcandy-backdoor toegang tot een router of switch hebben installeren ze niet alleen de backdoor, maar patchen ook de kwetsbaarheid CVE-2023-20198. Zowel de backdoor als toegepaste patch kunnen een reboot van het apparaat niet overleven. Aanvallers kunnen echter via gestolen inloggegevens of andere kwetsbaarheden wel toegang tot een gecompromitteerd device behouden.
The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op interne en voert sinds de ontdekking van Badcandy scans uit naar gebackdoorde Cisco-apparaten. De afgelopen drie maanden lag het hoogtepunt op achttienduizend besmette routers en switches. Dat is inmiddels naar ruim veertienduizend gedaald. Daarvan bevinden zich er 129 in Nederland. Het grootste aantal werd in Mexico en de Verenigde Staten waargenomen.
Welkom in de wereld van de IT, waar kennis, houding en gedrag wereldwijd ondermaats is, terwijl we aan de andere kant enorm afhankelijk zijn van een goede en veilige werking van die IT. Het is alsof je een brakke auto aangeleverd krijgt, geen APK uitvoert, je bandenspanning en oliepeil nooit controleert, en zonder rijbewijs lekker gaat rijden. En het dan raar vinden dat er dingen gebeuren die je liever niet hebt. De middelmatigheid druipt er vanaf, en het gros lijkt er wel vrede mee te hebben, gezien de manier waarop we IT aanvliegen.
Misschien moeten we maar hard zijn en bepaalde bedrijven simpelweg afsluiten als ze dit soort dingen op hun beloop laten. Ter bescherming van de samenleving, net zoals bij die auto. Ik word zonder APK ook de weg af getrokken en krijg een boete toe.
Grijs gebied, vrees ik. Er zijn zat redenen waarom dit niet gebeurd is. Soms valide andere niet. Had het gemoeten... jazeker.
En voordat er weer iemand gaat roepen dat dit tegen het consumenten recht is, of dat ze hun klanten belazeren... Cisco maakt bijna geen consumenten producten. Dus dat recht is niet van toepassing. En voor de zakelijke markt geldt gewoon dat je support hebt, als je ervoor betaald.
Netjes van Cisco om dit toe te laten.
Are you ready?
https://www.youtube.com/watch?v=nDRD4GQc25U
Year 2000
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?