Een aan de NSA-gelieerde spionagegroep was in staat om via het internet Cisco PIX-apparaten aan te vallen en vpn-privésleutels te stelen. Dat laat onderzoeker Mustafa Al-Bassam weten die een tool testte die deze week in een datadump van de "Equation Group" online verscheen.
De Cisco PIX (Private Internet eXchange) was een populaire ip-firewall en network address translation (NAT) appliance die sinds 2008 niet meer door Cisco wordt aangeboden en ook niet meer wordt ondersteund. Ook kon het apparaat worden gebruikt voor het opzetten van vpn-verbindingen, zodat werknemers van een organisatie bijvoorbeeld met een bedrijfsnetwerk verbinding konden maken. Maandag verscheen op internet een collectie met allerlei tools en exploits van de Equation Group om allerlei netwerkapparaten mee aan te vallen.
Eén van de tools, met de naam BENIGNCERTAIN, blijkt een exploit voor Cisco PIX-apparaten te zijn. De tool stuurt een Internet Key Exchange (IKE) pakketje naar de PIX-appliance, die daardoor een deel van het geheugen dumpt. De geheugendump kan vervolgens worden uitgelezen om zo de RSA-privésleutel en andere gevoelige configuratiegegevens, zoals vpn-instellingen, te achterhalen. Vanwege deze mogelijkheid heeft Al-Bassam de tool tot Pixpocket omgedoopt. Volgens Bassam heeft de NSA de aanvalstool veel gebruikt, aangezien het allerlei objecten in de geheugendumps van de PIX-apparaten herkent.
Deze posting is gelocked. Reageren is niet meer mogelijk.