840.000 Cisco-apparaten kwetsbaar voor NSA-gelinkt lek
Ruim 840.000 netwerkapparaten van fabrikant Cisco zijn kwetsbaar voor een beveiligingslek dat aan de Amerikaanse inlichtingendienst NSA is gelinkt, waarvan bijna 18.000 apparaten zich in Nederland bevinden. Via de kwetsbaarheid kan een aanvaller op afstand de inhoud van het geheugen van netwerkapparaten uitlezen en zo toegang tot allerlei vertrouwelijke informatie krijgen.
Cisco waarschuwde deze week voor de kwetsbaarheid die actief wordt gebruikt om "sommige klanten" aan te vallen, aldus de netwerkgigant. Het beveiligingslek werd ontdekt tijdens onderzoek naar een aanvalsprogramma van de NSA. Halverwege augustus verscheen op internet een collectie met allerlei tools en exploits van de Equation Group om netwerkapparaten mee aan te vallen. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om tools van de NSA gaat.
Eén van de tools, met de naam BENIGNCERTAIN, bleek een exploit voor Cisco PIX-apparaten te zijn. De Cisco PIX (Private Internet eXchange) was een populaire ip-firewall en network address translation (NAT) appliance die sinds 2008 niet meer door Cisco wordt aangeboden en ook niet meer wordt ondersteund. Na publicatie van de NSA-tool besloot Cisco een onderzoek naar BENIGNCERTAIN in stellen om te kijken of ook andere netwerkapparaten kwetsbaar zijn. Dit resulteerde in de ontdekking van een soortgelijke kwetsbaarheid. Dit beveiligingslek is aanwezig in netwerkapparaten waarop Cisco IOS, Cisco IOS XE en Cisco IOS XR draait.
De in Nederland gevestigde Shadowserver Foundation, een organisatie die zich met de bestrijding van botnets bezighoudt, besloot een scan op internet uit te voeren om te kijken hoeveel Cisco-apparaten via de kwetsbaarheid zijn aan te vallen. Dit resulteerde in 840.681 ip-adressen, waarvan 17.812 in Nederland. De meeste kwetsbare apparaten bevinden zich in de Verenigde Staten, namelijk 255.606. De onderzoekers willen de scanresultaten gebruiken om de beheerders van de netwerkapparaten te informeren. Een beveiligingsupdate van Cisco om het probleem te verhelpen is echter nog niet beschikbaar.
Waarom zou er een patch moeten komen?
Denkt iemand dat een partij die steunt op een security ding dat in 2008 al 'end of life' was, een patch policy heeft die deze patch oppakt?
In potentie betekend dit dat het grootste deel van Cisco's apparatuur de kwetsbaarheid kan bevatten omdat IOS het standaard OS is voor routers en switches.
Voor updates moet je bovendien een support contract hebben dus grote kans dat een veel apparaten niet gepatched gaan worden.
Waarom zou er een patch moeten komen?
Denkt iemand dat een partij die steunt op een security ding dat in 2008 al 'end of life' was, een patch policy heeft die deze patch oppakt?
Een soortgelijke bug zit in bijna alle Cisco Apparatuur. En alleen de Nexus Switches draaien op de niet genoemde NX versie voor grote datacenters.
Je kan ook concluderen dat er ongeveer 17.812 Cisco's buiten die paar datacenter switches :)
Het gaat dus niet om een patch voor de apparatuur uit 2008, maar om een patch voor alle huidige apparatuur. Alleen dat zetten ze liever iets genuanceerder neer.
Waarom zou er een patch moeten komen?
Denkt iemand dat een partij die steunt op een security ding dat in 2008 al 'end of life' was, een patch policy heeft die deze patch oppakt?
Een soortgelijke bug zit in bijna alle Cisco Apparatuur. En alleen de Nexus Switches draaien op de niet genoemde NX versie voor grote datacenters.
Het gaat dus niet om een patch voor de apparatuur uit 2008, maar om een patch voor alle huidige apparatuur als die feature enabled is. Alleen dat zetten ze liever iets genuanceerder neer.
.....
Hardware van 8 jaar oud is afgeschreven.. Dus waarom inderdaad een patch, weg met die oude obsolete hardware.
.....
Hardware van 8 jaar oud is afgeschreven.. Dus waarom inderdaad een patch, weg met die oude obsolete hardware.
Beter lezen.
De bug die in de Pix (obsolete) en ASA lijn (niet obsolete) zat blijkt ook aanwezig in de IOS/IOS-XR/IOS-XR (niet obsolete).
Voor de IOS'en is nog geen patch beschikbaar, en die gaat er zsm komen.
.....
Hardware van 8 jaar oud is afgeschreven.. Dus waarom inderdaad een patch, weg met die oude obsolete hardware.
Beter lezen.
De bug die in de Pix (obsolete) en ASA lijn (niet obsolete) zat blijkt ook aanwezig in de IOS/IOS-XR/IOS-XR (niet obsolete).
Voor de IOS'en is nog geen patch beschikbaar, en die gaat er zsm komen.
Ook ik moet (iets) beter lezen.
De bug waarbij IPSec credentials kunnen lekken wordt gedeeld tussen Pix (obsolete) en IOS/IOS-XE/IOS-XR (niet obsolete).
Cisco ASA (niet obsolete) staat niet in de advisory .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
