image

Cisco dicht NSA-beveiligingslek in netwerkapparatuur

donderdag 25 augustus 2016, 09:53 door Redactie, 6 reacties
Laatst bijgewerkt: 25-08-2016, 10:47

Cisco heeft beveiligingsupdates uitgebracht voor een kwetsbaarheid waarmee de NSA allerlei netwerkapparaten van bedrijven en organisaties kon aanvallen. Het gaat om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait.

Dergelijke apparatuur wordt vooral door bedrijven, overheidsinstellingen en organisaties gebruikt. Een persoon of groep die zichzelf Shadow Brokers noemt publiceerde vorige week een verzameling van tools, exploits en malware van een spionagegroep genaamd de Equation Group. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om malware en tools van de Amerikaanse inlichtingendienst NSA gaat.

Eén van de exploits, genaamd EXTRABACON, richtte zich op de Cisco ASA-software en maakte gebruik van een onbekende kwetsbaarheid waarvoor nog geen patch bestond. Via de exploit, die op afstand is uit te voeren, kan een aanvaller door het versturen van een SNMP-pakket volledige controle over het systeem krijgen. Omar Santos van Cisco zegt dat er nu begonnen is met het uitrollen van beveiligingsupdates voor de kwetsbare ASA-versies en de komende dagen aanvullende fixes zullen worden uitgebracht. Meer informatie is in het beveiligingsbulletin van de netwerkfabrikant te vinden.

Update

Gisteren werd bekend dat het Hongaarse beveiligingsbedrijf Silent Signal er in was geslaagd om de NSA-exploit aan te passen zodat die ook voor nieuwere versies van de ASA-software werkte. Het bedrijf heeft vandaag een blogposting online gezet waarin het ontwikkelproces wordt uitgelegd. De exploit zelf zal pas beschikbaar worden gesteld als alle kwetsbaarheden zijn verholpen.

Reacties (6)
25-08-2016, 11:33 door Anoniem
"Cisco heeft beveiligingsupdates uitgebracht"

Nou veel geluk bij het vinden en verkrijgen van die updates als je zo'n ding hebt!
Daar doet Cisco altijd ERG moeilijk over. Soms strijken ze bij een dergelijk lek de hand over het hart en zetten ze
de update wel gewoon downloadbaar neer, dus pak je kans om weer eens een firmware update te pakken te krijgen!
25-08-2016, 11:51 door Anoniem
En wij moeten geloven dat Cisco hier niet van op de hoogte was ?? Zijn we niet een beetje te naief ?
25-08-2016, 13:14 door Anoniem
Door Anoniem: En wij moeten geloven dat Cisco hier niet van op de hoogte was ?? Zijn we niet een beetje te naief ?

Je denk dat het onmogelijk is om een exploit te maken _zonder_ de hulp van Cisco ?
Waarom ?

Denk je dat de diverse malware exploit makers voor windows, browsers, Adobe flash, iPhone, Android dat alleen kunnen met medeweten/medewerking van Microsoft, Adobe, Mozilla,google , Apple ?
Niet ?
Waarom zou dan voor een ASA firewall exploit wel hulp nodig zijn ?

Natuurlijk weet ik niet _of_ Cisco betrokken is of niet. Maar ik denk dat het vinden van exploits , ook voor netwerk- of firewall apparatuur, best kan zonder hulp van de betrokken vendor.
25-08-2016, 13:34 door linuxpro
Amerikaanse bedrijven moeten zoals bekend meewerken aan tapverzoeken e.d. v/d amerikaanse overheid waarbij ze niets mogen zeggen of het gebeurd, hoevaak het gebeurd of dat er data is vrijgegeven. Kortom je weet dus dat ze wettelijk niets mogen en kunnen zeggen over achterdeurtjes, tapverzoeken e.d. dus alle info die hierover wel gegeven wordt staat tenmisnte op gespannen voet met de werkelijkheid. Dat is in de VS dus wetttelijk geregeld.
25-08-2016, 18:56 door Anoniem
Cisco heeft opzettelijk deze (of nog andere ?) achterpoortjes ingebouwd, net om aan de verzoeken van NSA te voldoen (zie hierboven). Nu kunnen ze niet anders dan "een fix uitbrengen" om geen gezichtsverlies te lijden natuurlijk. Net daarom zijn ze zo gekant tegen Huawei: die hebben die achterpoortjes niet (of toch niet voor de NSA). Dit is net nog bevestigd geworden in een andere artikel. Het magistrale (poker)spel is echter wel dat in de pers net het tegenovergestelde verkondigd wordt: "Huawei wordt geweigerd in Amerika omdat -volgende de persversie tenminste- Huawei "niet te vertrouwen" is omdat het achterpoortjes zou bevatten.
De juiste bewoording is echter eigenlijk "omdat het achterpoortjes zou bevatten die wij of NSA niet kennen of kunnen gebruiken". Dus in principle zouden ze veiliger zijn; Al wie iets anders gelooft, is naïef.
25-08-2016, 22:37 door Anoniem
Allereerst is een kwetsbaarheid geen achterdeur. Ieder software product heeft of krijgt te maken met kwetsbaarheden. En dan is het zaak om dit zo snel mogelijk te ontdekken en te patchen. Binnen Cisco wordt dit erg serieus opgepakt en is er zelfs een speciale groep voor. Deze groep is de grootste in de industrie en helpt ook andere fabrikanten in het ontdekken van kwetsbaarheden. Google maar eens op TALOS.

Criminelen etc gebruiken deze kwetsbaarheden om hun acties uit te voeren. Het enige wat je hier tegen kan doen is je product op de laatste software versie te houden. Je mag ervan uitgaan dat deze ook de laatste patches heeft. En dan nog kan het zijn dat er een andere kwetsbaarheid inzit die nog niet gepatched / ontdekt is. De mogelijkheid om te updaten is dan ook middels een "maintenance" contract geregeld. En ja, dat kost geld. Vaak kost een jaar zo'n 20% van de kostprijs.

Het Huawei verhaal heeft te maken met octrooirechten. Verder mogen vele Huawei producten wel in de VS verkocht worden, echter gebruikt de overheid in de VS het niet. Maar ook geen Alcatel, Extreme, en nog vele anderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.