Verschillende klanten van Cisco zijn de afgelopen weken aangevallen via een tool van de Amerikaanse inlichtingendienst NSA die in augustus op internet verscheen en waarmee vpn-privésleutels kunnen worden gestolen, zo heeft de netwerkfabrikant bekendgemaakt.
Halverwege augustus verscheen op internet een collectie met allerlei tools en exploits van de Equation Group om netwerkapparaten mee aan te vallen. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om tools van de NSA gaat. Eén van de tools, met de naam BENIGNCERTAIN, bleek een exploit voor Cisco PIX-apparaten te zijn. De Cisco PIX (Private Internet eXchange) was een populaire ip-firewall en network address translation (NAT) appliance die sinds 2008 niet meer door Cisco wordt aangeboden en ook niet meer wordt ondersteund.
BENIGNCERTAIN stuurt een Internet Key Exchange (IKE) pakketje naar de PIX-appliance, die daardoor een deel van het geheugen dumpt. De geheugendump kan vervolgens worden uitgelezen om zo de RSA-privésleutel en andere gevoelige configuratiegegevens, zoals vpn-instellingen, te achterhalen. Na publicatie van de NSA-tool besloot Cisco een onderzoek naar BENIGNCERTAIN in stellen om te kijken of ook andere netwerkapparaten kwetsbaar zijn. Dit resulteerde in de ontdekking van een soortgelijke kwetsbaarheid.
Zoals gisteren al gemeld gaat het om netwerkapparaten waarop Cisco IOS, Cisco IOS XE en Cisco IOS XR draait. Verschillende klanten die deze platformen draaien zijn de afgelopen periode ook daadwerkelijk aangevallen, zo waarschuwt de netwerkgigant. Om hoeveel klanten het precies gaat en in welke sectoren die actief zijn laat Cisco niet weten. Een beveiligingsupdate voor het probleem wordt op dit moment ontwikkeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.