Inlichtingendiensten uit allerlei landen hebben vandaag opgeroepen tot het beter beveiligen van Cisco-routers. Slecht geconfigureerde routers, die bijvoorbeeld bekende kwetsbaarheden bevatten of van legacy protocollen gebruikmaken, worden namelijk door statelijke hackers uit Rusland gehackt en misbruikt, zo beweren de inlichtingendiensten. Het zou onder andere gaan om Cisco-routers gebruikt door organisaties in vitale sectoren.
Volgens de diensten scannen de aanvallers naar routers die met actieve Simple Network Management Protocol (SNMP) agents, die veelvoorkomende of standaard community strings voor authenticatie accepteren. SNMP maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden toegang tot het apparaat te krijgen. Ook maken de aanvallers misbruik van de Cisco Smart Install feature. Dit is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van netwerkapparatuur, dat 'by design' geen authenticatie vereist.
In een gezamenlijke cybersecurity advisory roepen de diensten op om de 'routerhygiëne' te verbeteren. Zo wordt aangeraden om Cisco Smart Install op apparaten uit te schakelen, SNMP versie 1 en 2 uit te schakelen, SNMP versie 3 met de optie 'authPriv' te gebruiken, hashing type 8 te gebruiken voor het opslaan van wachtwoorden van gebruikers, monitoren op ongewone credentials en inlogpogingen met lokale accounts en gebruik te maken van Access Control Lists (ACL's) om beheerprotocollen zoals SNMP van alleen beheerapparatuur toe te staan.
Verder wordt opgeroepen om edge firewalls en apparaten zo in te stellen dat die alle communicatie op de poorten UDP-poort 69 (TFTP), TCP-poort 4786 (SMI) en UDP-poorten 161 en 162 (SNMP) te blokkeren. Ook wordt aangeraden om niet meer ondersteunde apparaten te vervangen door apparatuur die nog wel wordt ondersteund. De oproep is afkomstig van de inlichtingendiensten en cyberagentschappen uit de Verenigde Staten, Australië, Nieuw-Zeeland, het Verenigd Koninkrijk, Tsjechië, Denemarken, Finland, Frankrijk, Italië, Polen en Zweden. (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.