Cisco VPN's kwetsbaar voor DoS-aanvallen
Een beveiligingslek in een van de protocollen die door Cisco VPN 3000 modellen wordt gebruikt, zorgt ervoor dat de apparaten kwetsbaar zijn voor een denial of service aanval. Het probleem zit hem in het Internet Key Exchange (IKE) Protocol, dat voor remote IPsec VPN toegang zorgt. Door het sturen van talloze IKE requests kan het apparaat legitiem verkeer niet meer verwerken.
Aanvallers hoeven niet ingelogd te zijn om het lek te misbruiken omdat dit voor het authenticatie gedeelte gebeurt. Intrusion detection en prevention systemen bieden ook geen uitkomst, omdat het DoS-verkeer uit legitieme IKE pakketten bestaat.
De Cisco VPN 3000 modellen ondersteunen 200 tot 10.000 gelijktijdige remote IPsec verbindingen. Cisco waarschuwt dat klanten zich kunnen beschermen door de Call Admission Control (CAC) voor IKE te implementeren, die het aantal gelijktijdige verbindingen op een router beperkt.
Volgens de netwerkgigant is het lastig om een patch te ontwikkelen, en zoekt het naar mogelijk software "workarounds" om de impact van het lek te beperken.
meteen weer waarom ik mijn Cisco heb laten verlopen... Wat
een stelletje loosers. Wanneer je 10.000 gelijktijdige VPN
tunnels kunt bouwen, zorg je maar voor dat je handling
backbone zoveel meuk kan verwerken... PUNT. Als je een
1000mbps of 3000mbps input kunt verwachten, zorg je maar
voor dat die roestbak van jou ook 3000mbps aan bullshit kan
verwerken.. PUNT. Traag worden mag, maar niet eruit klappen.
Cisco lijkt meer en meer op die toko waar ze heel veel mee
samenwerken... Klinkt als soft... Verzin een baggerproduct,
gooi der wat dollars marketing tegenaan, en als er iets mis
is of het systeem is 1 groot ontwerpfout, net doen of je
neus bloedt... Tenzij je der echt niet meer onderuit kunt,
dan ga je 1 keer in de maand patchen... En natuurlijk doe je
dat niet eens goed de eerste keer.
implementation, but to underlying issues in the IKE
protocol, and may affect any device which implements IKE
version 1."
Het is al heel lang bekend dat Aggressive Mode kwetsbaar is
voor denial of service. Maar volgens de melder van het
probleem is ook Main Mode kwetsbaar. Dat is wel nieuw, dacht ik.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
