image

Inlichtingendiensten roepen op tot het beter beveiligen van Cisco-routers

maandag 13 juli 2026, 12:27 door Redactie, 5 reacties

Inlichtingendiensten uit allerlei landen hebben vandaag opgeroepen tot het beter beveiligen van Cisco-routers. Slecht geconfigureerde routers, die bijvoorbeeld bekende kwetsbaarheden bevatten of van legacy protocollen gebruikmaken, worden namelijk door statelijke hackers uit Rusland gehackt en misbruikt, zo beweren de inlichtingendiensten. Het zou onder andere gaan om Cisco-routers gebruikt door organisaties in vitale sectoren.

Volgens de diensten scannen de aanvallers naar routers die met actieve Simple Network Management Protocol (SNMP) agents, die veelvoorkomende of standaard community strings voor authenticatie accepteren. SNMP maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden toegang tot het apparaat te krijgen. Ook maken de aanvallers misbruik van de Cisco Smart Install feature. Dit is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van netwerkapparatuur, dat 'by design' geen authenticatie vereist.

In een gezamenlijke cybersecurity advisory roepen de diensten op om de 'routerhygiëne' te verbeteren. Zo wordt aangeraden om Cisco Smart Install op apparaten uit te schakelen, SNMP versie 1 en 2 uit te schakelen, SNMP versie 3 met de optie 'authPriv' te gebruiken, hashing type 8 te gebruiken voor het opslaan van wachtwoorden van gebruikers, monitoren op ongewone credentials en inlogpogingen met lokale accounts en gebruik te maken van Access Control Lists (ACL's) om beheerprotocollen zoals SNMP van alleen beheerapparatuur toe te staan.

Verder wordt opgeroepen om edge firewalls en apparaten zo in te stellen dat die alle communicatie op de poorten UDP-poort 69 (TFTP), TCP-poort 4786 (SMI) en UDP-poorten 161 en 162 (SNMP) te blokkeren. Ook wordt aangeraden om niet meer ondersteunde apparaten te vervangen door apparatuur die nog wel wordt ondersteund. De oproep is afkomstig van de inlichtingendiensten en cyberagentschappen uit de Verenigde Staten, Australië, Nieuw-Zeeland, het Verenigd Koninkrijk, Tsjechië, Denemarken, Finland, Frankrijk, Italië, Polen en Zweden. (pdf).

Reacties (5)
Vandaag, 13:05 door Anoniem
Ze kunnen beter roepen tegen Cisco Systems deze gatenkaas verplicht intern op te schonen van de puinhoop dat het is geworden.
Vandaag, 13:06 door Anoniem
Dit zijn toch gewoon best-practices voor alle actieve Netwerk apparaten? Of zijn er nu nog bedrijven die dit anderen hebben ingeregeld?7
Vandaag, 13:41 door Anoniem
Een CVE uit 2008? Werkelijk? Wat is er de afgelopen 18 jaar mee gedaan?
Vandaag, 14:00 door Anoniem
Door Anoniem: Dit zijn toch gewoon best-practices voor alle actieve Netwerk apparaten? Of zijn er nu nog bedrijven die dit anderen hebben ingeregeld?7

Dat zijn het ook.

Weet je, ik loop langs portieken met een sticker "deur op slot, houd inbrekers buiten" .
Het staatsjournaal vindt het nuttig om het advies om "water drinken bij erg warm weer" te geven.

En dan denk jij dat dit soort best practices voor netwerk apparatuur "al lang 100% overal" geregeld zijn ?
Vandaag, 15:01 door Anoniem
Door Anoniem: Een CVE uit 2008? Werkelijk? Wat is er de afgelopen 18 jaar mee gedaan?

Gepatched in latere releases natuurlijk.

CVE-2008-4128 is iets in de HTTP management optie in IOS 12.4 op een 871 (kleine soho router) en stokoud
Fijn he, dat sommige bedrijven bepaalde hardware+software blijkbaar zo lang laten meegaan.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.