image

Tienduizenden Cisco-apparaten kwetsbaar voor NSA-aanval

zondag 4 september 2016, 10:39 door Redactie, 8 reacties

Ondanks het verschijnen van een beveiligingsupdate van Cisco zijn nog altijd tienduizenden apparaten van de netwerkgigant kwetsbaar voor een onlangs ontdekte aanval van de NSA. Het gaat om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait. Dergelijke apparatuur wordt vooral door bedrijven, overheidsinstellingen en organisaties gebruikt.

Een persoon of groep die zichzelf Shadow Brokers noemt publiceerde halverwege augustus een verzameling van tools, exploits en malware van een spionagegroep genaamd de Equation Group. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om malware en tools van de Amerikaanse inlichtingendienst NSA gaat.

Eén van de exploits, genaamd EXTRABACON, richt zich op de Cisco ASA-software en maakt gebruik van een kwetsbaarheid waarvoor op het moment van de ontdekking nog geen patch bestond. Via de exploit, die op afstand is uit te voeren, kan een aanvaller door het versturen van een SNMP-pakket volledige controle over het systeem krijgen. Op 24 augustus kwam Cisco met beveiligingsupdates om het probleem te verhelpen.

Kwetsbaar

Om de kwetsbaarheid aan te vallen moeten ASA-apparaten SNMP hebben ingeschakeld en moet de aanvaller de mogelijkheid hebben om het apparaat via UDP SNMP te bereiken. Ook moet de aanvaller telnet- of ssh-toegang tot het apparaat hebben. Hierdoor is de grootste kans om de aanval uit te voeren vanaf het bedrijfsnetwerk. Bijvoorbeeld van een netwerkgedeelte dat SNMP- en telnet/ssh-toegang tot een kwetsbaar apparaat heeft, zo stelt beveiligingsbedrijf Rapid7.

Toch zijn er op internet ook Cisco ASA-apparaten te vinden. Rapid7 besloot dan ook een scan op internet uit te voeren en ontdekte meer dan 50.000 Cisco ASA ssl-vpn-apparaten, waarvan 1310 in Nederland. Vervolgens wilden de onderzoekers kijken hoeveel van deze apparaten niet gepatcht waren. Iets dat kon worden vastgesteld op basis van de uptime. Een apparaat dat sinds het uitkomen van de beveiligingsupdate niet is gereset, is technisch kwetsbaar. Van zo'n 12.000 toestellen bleek het niet mogelijk om de timestamp te achterhalen.

Van de ruim 38.000 waarbij dit wel lukte bleek dat slechts 10.000 er sinds het uitkomen van de update opnieuw waren gestart. Dit houdt in dat er ruim 28.000 apparaten technisch kwetsbaar zijn. Daarbij moet worden opgemerkt dat het hier om ASA-apparaten gaat die via internet konden worden gevonden. Het aantal ASA-apparaten dat niet zichtbaar is, is mogelijk nog veel groter, wat mogelijk ook voor het aantal ongepatchte apparaten geldt.

Image

Reacties (8)
04-09-2016, 10:52 door Anoniem
Voor bedrijven zal er eerst een change plan geschreven moeten worden incl. alle goedkeuringen, fallback scenario's etc. Daarna zal er een patch window gevonden moeten worden, aangezien productieprocessen nagenoeg altijd voorrang krijgen zal het best een tijdje duren voordat alle devices gepatched zijn.

Ik had dat ook wel kunnen vertellen zonder een scan uit te voeren.
04-09-2016, 14:29 door Anoniem
Door Anoniem: Voor bedrijven zal er eerst een change plan geschreven moeten worden incl. alle goedkeuringen, fallback scenario's etc. Daarna zal er een patch window gevonden moeten worden, aangezien productieprocessen nagenoeg altijd voorrang krijgen zal het best een tijdje duren voordat alle devices gepatched zijn.
Als je bij een kritiek lek weken de tijd moet nemen om te patchen dan neem je je patchmanagement en de beveiliging van je bedrijf en je klanten niet serieus.

Grote kans dat dit ligt aan het niet hebben van support contracten bij cisco (bijvoorbeeld door aankopen van gebruikte apparatuur) en geen interesse hebben in risico's voor de organisatie en helemaal geen patch management hebben.
04-09-2016, 14:34 door Anoniem
Ze hebben bij Rapid7 dus geen benul hoeveel apparaten wel of niet gepatched zijn en maken daarop een grafiekje. Technisch gezien zijn alle apparaten die ze konden benaderen namelijk kwetsbaar als je alleen kijkt naar de uptime. Een reboot zegt geheel niets over het patchen, het zegt alleen dat het apparaat opnieuw opgestart is. Maakt de situatie alleen maar treuriger.
05-09-2016, 00:18 door Anoniem
Cisco komt wel erg vaak in het negatieve nieuws ivm vulnerabilities en exploits. Hoge bomen; veel wind. Ik begrijp het .. maar ik kan mij zomaar eens voorstellen dat bedrijven zich wat vaker over hun spreekwoordelijke bolletje krabbelen.
05-09-2016, 09:07 door Anoniem
Door Anoniem: Voor bedrijven zal er eerst een change plan geschreven moeten worden incl. alle goedkeuringen, fallback scenario's etc. Daarna zal er een patch window gevonden moeten worden, aangezien productieprocessen nagenoeg altijd voorrang krijgen zal het best een tijdje duren voordat alle devices gepatched zijn.

Een serieus bedrijf doet risk driven patch management, dus die schatten risico in en bepalen op basis daarvan hoe snel de patch moet worden uitgerold. Als het echt nodig is (en firewalls met Internet visability en lekken vallen daar onder) dan kan zo'n patch ook met het hele ITIL proces nog steeds heel snel worden uitgerold. En sowieso staan SNMP, telnet en ssh nooit open voor het Internet (least privilege principle).
05-09-2016, 12:11 door Anoniem
CASA installeren is easy, CASA veilig installeren is weer wat anders ;-).
05-09-2016, 15:22 door Anoniem
Men vergeet gemaks halve dat voor deze bug je de SNMP community string MOET weten.
En je moet van een host gebruik maken welke toegang heeft tot SNMP op het device..
Dus ook al staan de device aangesloten op "het internet" wil dat nog niet zeggen dat ze ooko SNMP toelaten vanaf het internet.
Telnet vanaf het internet is al niet mogelijk.
06-09-2016, 08:30 door Anoniem
Door Anoniem:
Door Anoniem: Voor bedrijven zal er eerst een change plan geschreven moeten worden incl. alle goedkeuringen, fallback scenario's etc. Daarna zal er een patch window gevonden moeten worden, aangezien productieprocessen nagenoeg altijd voorrang krijgen zal het best een tijdje duren voordat alle devices gepatched zijn.

Een serieus bedrijf doet risk driven patch management, dus die schatten risico in en bepalen op basis daarvan hoe snel de patch moet worden uitgerold. Als het echt nodig is (en firewalls met Internet visability en lekken vallen daar onder) dan kan zo'n patch ook met het hele ITIL proces nog steeds heel snel worden uitgerold. En sowieso staan SNMP, telnet en ssh nooit open voor het Internet (least privilege principle).

Volgens mij heb jij het boekje gelezen maar nog nooit praktijk situaties gezien.
Er zijn vele bedrijven die SSH toegang vanaf het internet hebben openstaan, alleen al om behaar "gemakkelijker" te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.