Bedrijf houdt extreem ernstige Cisco lekken verborgen
De security onderzoeker die dit jaar een ernstig lek in het besturingssysteem van Cisco routers bekend maakte, laat nu weten dat hij 15 andere lekken in de software heeft ontdekt die nog niet gemeld zijn. Een van de lekken is veel gevaarlijker dan het lek dat deze zomer onthuld werd.
Volgens Mike Lynn, voormalig security onderzoeker van Internet Security Systems, kan een aanvaller via drie lekken volledige controle over de routers en gateway hardware van Cisco krijgen. Het gevaarlijkste lek van de drie kan bijna op elke configuratie van een Cisco router gebruikt worden.
"Dat is de een waar ik echt bang voor ben" zegt Lynn, die opmerkt dat het lek dat hij in juli onthulde alleen in bepaalde configuraties van Cisco routers gebruikt kon worden. Het nieuwe lek bevindt zich in een stukje code dat zo belangrijk is dat het in elke configuratie aanwezig is. Het is meer een onderdeel van de "core code" en niet van de feature set.
Naast de ernstige lekken kan een aanvaller de andere onbekende kwetsbaarheden gebruiken voor een denial of service aanval tegen de router. ISS zou al maanden van de lekken weten, maar Cisco nog niet hebben ingelicht. En dat is zeer ernstig, aldus Lynn, die nu werkt voor Cisco concurrent Juniper Networks. Aanvallers zouden namelijk al exploits voor de lekken kunnen ontwikkelen.
In 2004 werd de broncode van Cisco's IOS gestolen. Tijdens onderzoek naar de IOS software ontdekte Lynn een Chinese website waarop Chinese aanvallers van de lekken op de hoogte waren. ISS laat houdt vol dat het niet op de hoogte is van de lekken in Cisco's IOS. Lynn zegt dat hij wel degelijk de lekken aan zijn voormalige collega's heeft bekend gemaakt.
Wiens schuld dat is, daargelaten.
Het gevolg is nu dat de samenwerking weg is en de confromtatie hard
gespeeld wordt. Nu Linn voor Juniper werkt, is het ook nog onderdeel van
een groot politiek spel geworden, met als doel elkaar zwart maken.
Juniper Networks zal geen gelegenheid laten liggen om Cisco aan te
vallen en Linn past perfect in die strategie.
Het is sneu te concluderen dat situaties waarin beide partijen (Linn/Cisco)
in principe met goede bedoelingen starten, zo uit de hand kunnen lopen
en leiden tot een situatie met twee verliezers.
Waarom meldt Lynn deze zelf dan niet bij Cisco als hij er zo bang voor is??
En Juniper Networks kan hiervan profiteren natuurlijk... Doordat bedrijven ineens alternatieven voor Cisco gaan zoeken..
bijna op windows te gelijken...
Wat is er de laatste tijd toch aan de hand met Cisco? Begint
bijna op windows te gelijken...
Laatste tijd??? Zijt gij krankzinnig? IOS is altijd rotzooi
geweest. Ik weigerde in de vorige eeuw al Cisco routers te
gebruiken. Doe mij maar gewoon een OpenBGPD router en pcie
10GE intel kaartjes op de AMS-IX...
Waarom meldt Lynn deze zelf dan niet bij Cisco als hij er zo
bang voor is??
dat heeft hij met de vorige holes dus ook gedaan. Cisco
reageerde adequaat door niets aan het gat te doen, maar in
de plaats daarvan te proberen hem het zwijgen op te leggen.
miljoenen gaat kosten zo. Dit gaat wel een hele grote
operatie worden als alle firmware van Cisco routers
aangepast moet worden.
intel kaartjes op de AMS-IX...
probleempjes?!?!?!?
Tsja, akelige hickup. Al mijn kostbare peering sessies gereset!
Het is eigenlijk zo dat iedereen bugs kan melden aan Cisco TAC en dat
dan dit naar engineering gestuurd wordt. Elke release heeft zijn
mankementen.
Dat vergt natuurlijk enige maturiteit.
Totdat er zo'n mediageil mannetje komt die zijn eigen carrière een boost
wil geven door veel tamtam te maken rond een bug, cfr zijn presentatie
waar hij openlijk solliciteerde.... need I say more?
Door een bepaalde bug kan je natuurlijk een router plat leggen, en daar
moet je eigenlijk niet zo veel kennis voor hebben.
Je kan op een bug stoten of zeggen dat je de software hebt gekraakt...
Het komt op hetzelfde neer. 't Is maar hoe dat je het verkoopt en wat er
achterzit.
Het is niet omdat er bugs inzitten dat je die publiek moet gaan maken.
Zoals ik al zei, een beetje maturiteit zou geen kwaad kunnen.
probleem al eerder gemeld en cisco will gewoon niks doen of
lang wachten. je kan dan inderdaad braaf je mond houden en
maar hopen dat iemand met minder goede bedoelingen er niet
achter komt en wel veel rottigheid gaat uithalen of de boel
gewoon openbaar maken. dat mocht ie toen niet eens doen van
zijn werkgever en hij moest ontslag nemen om toch nog wat te
kunnen zeggen. op dat moment dachten veel mensen dat ie niet
eens terug zou kunnen komen in deze sector volgens mij.
gaten. gewoon publiceren als de fabrikant er niets aan doet.
uitgerold en het oplossen van sommige bugs kan wat langer duren. Dat
wil niet zeggen dat er niets aangedaan wordt.
Ik vrees dat hier het eigenbelang primeerde en niet de bezorgdheid om de
gebruikers.
Als iemand zijn deurslot stuk is, ga je het ook niet eerst in de krant
publiceren, zogezegd om de gebruikers te waarschuwen.
Als de bugs bekend zijn bij de gebruikers is het voldoende.
Een ander heeft er geen zaken mee.
eerst in de krant publiceren, zogezegd om de gebruikers te
waarschuwen.
is de consumentenbond er als de kippen bij om iedereen te
waarschuwen.. Wat is het verschil?
Ik vrees dat hier het eigenbelang primeerde en niet de
bezorgdheid om de
gebruikers.
Als iemand zijn deurslot stuk is, ga je het ook niet eerst
in de krant
publiceren, zogezegd om de gebruikers te waarschuwen.
Beste meneer 'primeerde' en 'maturiteit': Als een essentieel
element als een een core router gehacked is vrees ik voor
mijn anonimiteit en integriteit. Dit gaat direct een hele
grote groep internet gebruikers aan (en niet alleen internet
gebruikers want ook gevoeliger netwerken gebruiken cisco
routers). Dit gaat meteen een hele grote groep routers aan
die de basis vormen voor onze wereldwijde digitale
infrastructuur (inclusief geldstromen ed). Als iemands slot
kapot is gaat dat precies 1 persoon aan. Deze vergelijking
gaat mank en is demagogische cisco prietpraat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
