image

Inlichtingendiensten roepen op tot het beter beveiligen van Cisco-routers

maandag 13 juli 2026, 12:27 door Redactie, 9 reacties

Inlichtingendiensten uit allerlei landen hebben vandaag opgeroepen tot het beter beveiligen van Cisco-routers. Slecht geconfigureerde routers, die bijvoorbeeld bekende kwetsbaarheden bevatten of van legacy protocollen gebruikmaken, worden namelijk door statelijke hackers uit Rusland gehackt en misbruikt, zo beweren de inlichtingendiensten. Het zou onder andere gaan om Cisco-routers gebruikt door organisaties in vitale sectoren.

Volgens de diensten scannen de aanvallers naar routers die met actieve Simple Network Management Protocol (SNMP) agents, die veelvoorkomende of standaard community strings voor authenticatie accepteren. SNMP maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden toegang tot het apparaat te krijgen. Ook maken de aanvallers misbruik van de Cisco Smart Install feature. Dit is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van netwerkapparatuur, dat 'by design' geen authenticatie vereist.

In een gezamenlijke cybersecurity advisory roepen de diensten op om de 'routerhygiëne' te verbeteren. Zo wordt aangeraden om Cisco Smart Install op apparaten uit te schakelen, SNMP versie 1 en 2 uit te schakelen, SNMP versie 3 met de optie 'authPriv' te gebruiken, hashing type 8 te gebruiken voor het opslaan van wachtwoorden van gebruikers, monitoren op ongewone credentials en inlogpogingen met lokale accounts en gebruik te maken van Access Control Lists (ACL's) om beheerprotocollen zoals SNMP van alleen beheerapparatuur toe te staan.

Verder wordt opgeroepen om edge firewalls en apparaten zo in te stellen dat die alle communicatie op de poorten UDP-poort 69 (TFTP), TCP-poort 4786 (SMI) en UDP-poorten 161 en 162 (SNMP) te blokkeren. Ook wordt aangeraden om niet meer ondersteunde apparaten te vervangen door apparatuur die nog wel wordt ondersteund. De oproep is afkomstig van de inlichtingendiensten en cyberagentschappen uit de Verenigde Staten, Australië, Nieuw-Zeeland, het Verenigd Koninkrijk, Tsjechië, Denemarken, Finland, Frankrijk, Italië, Polen en Zweden. (pdf).

Reacties (9)
Gisteren, 13:05 door Anoniem
Ze kunnen beter roepen tegen Cisco Systems deze gatenkaas verplicht intern op te schonen van de puinhoop dat het is geworden.
Gisteren, 13:06 door Anoniem
Dit zijn toch gewoon best-practices voor alle actieve Netwerk apparaten? Of zijn er nu nog bedrijven die dit anderen hebben ingeregeld?7
Gisteren, 13:41 door Anoniem
Een CVE uit 2008? Werkelijk? Wat is er de afgelopen 18 jaar mee gedaan?
Gisteren, 14:00 door Anoniem
Door Anoniem: Dit zijn toch gewoon best-practices voor alle actieve Netwerk apparaten? Of zijn er nu nog bedrijven die dit anderen hebben ingeregeld?7

Dat zijn het ook.

Weet je, ik loop langs portieken met een sticker "deur op slot, houd inbrekers buiten" .
Het staatsjournaal vindt het nuttig om het advies om "water drinken bij erg warm weer" te geven.

En dan denk jij dat dit soort best practices voor netwerk apparatuur "al lang 100% overal" geregeld zijn ?
Gisteren, 15:01 door Anoniem
Door Anoniem: Een CVE uit 2008? Werkelijk? Wat is er de afgelopen 18 jaar mee gedaan?

Gepatched in latere releases natuurlijk.

CVE-2008-4128 is iets in de HTTP management optie in IOS 12.4 op een 871 (kleine soho router) en stokoud
Fijn he, dat sommige bedrijven bepaalde hardware+software blijkbaar zo lang laten meegaan.
Gisteren, 16:03 door Anoniem
Door Anoniem:
Door Anoniem: Een CVE uit 2008? Werkelijk? Wat is er de afgelopen 18 jaar mee gedaan?

Gepatched in latere releases natuurlijk.

CVE-2008-4128 is iets in de HTTP management optie in IOS 12.4 op een 871 (kleine soho router) en stokoud
Fijn he, dat sommige bedrijven bepaalde hardware+software blijkbaar zo lang laten meegaan.

Als of je een auto uit 2008 de garage uit rijdt en zonder onderhoud en APK de weg op stuurt en dan raar staat te kijken dat je van de weg wordt gehaald (of in het geval van de IT-wereld: jouw netwerk wordt overgenomen en je na een geslaagde ransomware-aanval losgeld mag betalen, doordat de rest van jouw infra en applicatielandschap hoogstwaarschijnlijk ook een grote rotzooi is.) Hoe kun je mensen tegen zichzelf beschermen die er zo'n potje van maken?
Gisteren, 23:41 door Anoniem
Lees: Rusland heeft iets ontdekt waar de anderen al jaren gebruik van maken.
Ze zitten er zelf zo diep in dat ze deze accessroute niet meer nodig hebben. Dus: zet m dicht om de russen buiten te houden, big brother is watching u.
Vandaag, 09:29 door Anoniem
dit probleem ligt niet bij Cisco zelf. ze brengen regelmatig updates uit voor hun apparatuur en ze hebben talloze documentatie over hardening van je Cisco apparatuur. het probleem ligt bij het bedrijf die de beheer doet.

oude software versie er op, geen update beleid of gewoon simpel 'het werkt wrm updaten?' 'wat als er iets omvalt?'
simpele configuraties zonder na te denken over security.

in sommige gevallen legacy apparatuur.

ik werk als netwerkbeheerder in de detacheringsbranche en heb dit zovaak gezien.
als ik het aankaart of met initiatieven kom wordt ik zowat scheef aangekeken.
Vandaag, 10:54 door Anoniem
Door Anoniem:
Door Anoniem: Een CVE uit 2008? Werkelijk? Wat is er de afgelopen 18 jaar mee gedaan?

Gepatched in latere releases natuurlijk.

CVE-2008-4128 is iets in de HTTP management optie in IOS 12.4 op een 871 (kleine soho router) en stokoud
Fijn he, dat sommige bedrijven bepaalde hardware+software blijkbaar zo lang laten meegaan.

Welke versie dan? Cisco heeft er geen advisory over. En is *enkel* 12.4 getroffen? 12.3 niet?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.