image

Cisco ontdekt ernstig ongepatcht IOS-lek in CIA-arsenaal

maandag 20 maart 2017, 10:35 door Redactie, 4 reacties

Netwerkgigant Cisco heeft in het CIA-arsenaal dat onlangs door WikiLeaks werd gepubliceerd een ernstige kwetsbaarheid gevonden waardoor kwetsbare netwerkapparaten kunnen worden overgenomen. Het lek bevindt zich in het Cisco Cluster Management Protocol (CMP) dat code in Cisco IOS verwerkt.

Cisco IOS is het besturingssysteem dat op routers, firewalls en andere apparaten van het bedrijf draait. Via het beveiligingslek zou een aanvaller op afstand en zonder inloggegevens willekeurige code met verhoogde rechten kunnen uitvoeren en zo volledige controle over het apparaat krijgen. Een aanvaller kan van de kwetsbaarheid misbruik maken door tijdens het opzetten van een Telnet-sessie misvormde CMP-specifieke Telnet-opties te versturen. Een zeer groot aantal netwerkapparaten is hierdoor aan te vallen. Cisco werkt op dit moment aan een update. Een tijdelijke oplossing is het uitschakelen van Telnet.

Reacties (4)
20-03-2017, 11:36 door Anoniem
"Een tijdelijke oplossing is het uitschakelen van Telnet"

Ik mag hopen dat je dit wel definitief doet als je dat nog niet gedaan hebt...
20-03-2017, 11:43 door Anoniem
Telnet?! Uhhhh oke. Wie heeft dat nu nog open staan op dit soort apparaten. Dat is vragen op problemen. Enkel al de gedachte Telnet en open staande poort aan de verkeerde kant van je netwerk is al not done. Jammer genoeg zijn er nog veel te veel beheerders die het niet helemaal snappen.


Grts,
Dennis
20-03-2017, 17:47 door Anoniem
Als het CMP afhankelijk is van Telnet dan heeft het geen zin om Telnet uit te schakelen omdat het dan onmogelijk wordt het cluster te beheren en een configuratie volledig kapot zou gaan als Telnet volledig uit te schakelen was.

De vraag is of bij een "no-service take-your-pick server" alleen intern de toegang wordt geblokkeerd of de service ook werkelijk niet meer gestart wordt(en dus niet meer door het CMP gebruikt kan worden).

Bij Cisco moeten ze er op een gegeven moment toch wel genoeg van hebben dat hun reputatie door een stel cowboys constant wordt afgebroken.

Ze maken geweldig zoniet het beste netwerkspul op deze aardkluit, maar dat spul is ook voor geen milimeter te vertrouwen. Erg jammer.
20-03-2017, 23:28 door Anoniem
telnet aan de binnenkant is ook een lastige.

als een hacker al even binnen is, kan deze middels deze woopsie je firepall van binnenuit kietelen, er god-weet-wat mee uithalen, en als zijn entrypoint dan middels een windows update of wat dan ook stopt, is daar nog altijd zijn vriend de firewall die hij van binnenuit ooit verteld heeft hem van buiten weer toe te laten.

Firewalls kun je ook beheren vanuit een gesloten netwerk, waarin zich een enkele beheerders VM bevind die je met Vmware-client of iets hyperv' vertgelijkbaars op console opent. niet met rdp want dan zit een luie netwerkbeheerder alweer direct aan het netwerk met zijn geinfecteerde internettende windows bak.

Eerste wat een hacker doet na binnenkomst is logs wegmaken, tweede is 6 extra toegangspoorten creeeren.
Daar is dit een mooie voor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.