image

Cisco-switches in vitale infrastructuur doelwit van aanvallen

donderdag 5 april 2018, 17:30 door Redactie, 7 reacties

Cisco-switches die binnen de vitale infrastructuur worden gebruikt zijn het doelwit van aanvallen geworden, zo heeft de netwerkgigant laten weten. Volgens Cisco maken "specifieke geraffineerde actoren" gebruik van een kwetsbaarheid in de Cisco Smart Install Client.

In verschillende landen hebben zich inmiddels incidenten voorgedaan. Daarbij zijn ook systemen in de vitale infrastructuur het doelwit geworden. Sommige van deze aanvallen zouden mogelijk door landen zijn uitgevoerd, aldus Cisco in een waarschuwing. Vorig jaar februari waarschuwde de netwerkgigant al dat aanvallers naar Smart Install Clients aan het scannen waren. Een aantal maanden later in augustus gaf de Australische overheid een waarschuwing af dat Cisco-routers en -switches werden aangevallen.

Smart Install is een 'plug-and-play' feature voor het configureren en uitrollen van switches. Volgens Cisco is het een legacy-tool om "no-touch" installaties van nieuwe Cisco-apparatuur mogelijk te maken. Vanwege de scans die vorig jaar plaatsvonden publiceerde Cisco een scantool en een blogposting. Het Smart Install-protocol kan worden misbruikt om de TFTP-serverinstellingen aan te passen, configuratiebestanden te stelen via TFTP, het configuratiebestand aan te passen, het IOS-image van de router of switch te vervangen, accounts aan te maken of IOS-commando's uit te voeren. IOS is het besturingssysteem dat op de netwerkapparatuur van Cisco draait.

Volgens Cisco is er geen sprake van een kwetsbaarheid in de "klassieke zin" van het woord, maar is misbruik van het protocol een aanvalsvector die direct moet worden verholpen, aldus de netwerkgigant. Die besloot te kijken hoeveel systemen kwetsbaar zijn en ontdekte meer dan 168.000 systemen die via de Cisco Smart Install Client risico lopen. Beheerders van Cisco-apparaten krijgen dan ook het advies om te controleren of hun apparatuur kwetsbaar is. In deze blogposting geeft Cisco enkele aanwijzingen om het probleem te verhelpen.

Image

Reacties (7)
05-04-2018, 17:57 door Anoniem
"Smart Install is een 'plug-and-play' feature voor het configureren en uitrollen van switches"

Doet het altijd goed in verkoopfolders en in presentaties van mannen in nette pakken. Techneuten hebben daar meestal
minder mee en nu blijkt maar weer waarom.
05-04-2018, 22:07 door Anoniem
Door Anoniem: "Smart Install is een 'plug-and-play' feature voor het configureren en uitrollen van switches"

Doet het altijd goed in verkoopfolders en in presentaties van mannen in nette pakken. Techneuten hebben daar meestal
minder mee en nu blijkt maar weer waarom.

Die "techneuten" die management adressen van switches vanaf Internet bereikbaar laten zijn ?

De feature is inmiddels achterhaald in implementatie, maar een beetje ervaren en professionele techneut loopt wel degelijk warm voor dingen als 'gecentraliseerd beheer' , 'remote management ', 'auto deploy' en dat soort dingen.
De tijd dat een nerd met bril, baard, zwart t-shirt met grappige tekst, laptop vol met pinguin (of daemon) stickers ter plekke de switch kwam ophangen en dan met z'n RS-232 console kabeltje erin configuratie kwam designen, implementeren en hopelijk nog een beetje testen is toch echt achterhaald.
Die tijd dat je als collega (of opvolger) aan de configuratie stijl zag wie 'm neergezet had.

Zo wil je echt niet werken als je een heel klein beetje schaal hebt - een goede standaard configuratie wil je één keer maken, en dan overal gestructureerd deployen, zo automatisch mogelijk. Voor het inschroeven en kabels inprikken hoor je geen netwerk engineer nodig te hebben - die zorgt dat alles _daarna_ vanzelf goed komt. En goed blijft.
06-04-2018, 08:57 door Anoniem
Ik kwam dit in 2004 al tegen met Cisco Aironet Wireless Access Points. In een groot project werden door een installateur de 200+ access points op gehangen en daarna door een controller automatishc geconfigureerd. Het netwerk stond heel open by design (Surfnet) en er bleek iemand in Argentinie aggressiever te scanner dan onze controller. Hij configureerde de APs met zijn instellingen, daarna konden wij er niet bij en moesten ze eerst resetten via de console port.
Met een filtertje voor zijn IP reeks was er een werkende workaround.
06-04-2018, 09:02 door Anoniem
Kijk of poort 4786 open staat, op je device kan je het commando "no vstack" of "no vstack basic" uitvoeren om smartinstall uit te zetten. Anderzijds kan je er een ACL op zetten.
06-04-2018, 09:54 door buttonius - Bijgewerkt: 06-04-2018, 09:57
Door Anoniem 22:07:
Door Anoniem: "Smart Install is een 'plug-and-play' feature voor het configureren en uitrollen van switches"

Doet het altijd goed in verkoopfolders en in presentaties van mannen in nette pakken. Techneuten hebben daar meestal
minder mee en nu blijkt maar weer waarom.

Die "techneuten" die management adressen van switches vanaf Internet bereikbaar laten zijn ?

De feature is inmiddels achterhaald in implementatie, maar een beetje ervaren en professionele techneut loopt wel degelijk warm voor dingen als 'gecentraliseerd beheer' , 'remote management ', 'auto deploy' en dat soort dingen.
De tijd dat een nerd met bril, baard, zwart t-shirt met grappige tekst, laptop vol met pinguin (of daemon) stickers ter plekke de switch kwam ophangen en dan met z'n RS-232 console kabeltje erin configuratie kwam designen, implementeren en hopelijk nog een beetje testen is toch echt achterhaald.
Die tijd dat je als collega (of opvolger) aan de configuratie stijl zag wie 'm neergezet had.

Zo wil je echt niet werken als je een heel klein beetje schaal hebt - een goede standaard configuratie wil je één keer maken, en dan overal gestructureerd deployen, zo automatisch mogelijk. Voor het inschroeven en kabels inprikken hoor je geen netwerk engineer nodig te hebben - die zorgt dat alles _daarna_ vanzelf goed komt. En goed blijft.

Als er 168.000 kwetsbare systemen operationeel zijn, dan zijn er nogal veel professionele techneuten die die hun werk niet zo goed doen. Maar het zou natuurlijk ook kunnen dat de producten van Cisco niet zo veilig zijn als je zou verwachten.
06-04-2018, 10:23 door Anoniem
Onderdeel van cyberactor groep Dragonfly en het FBI Homeland Security en Boris Johnson en Zijlstra verhaal over aanvallen op de westerse powegrif door Russische hackers. Geen nieuws van de mevr. uit Veghel?
06-04-2018, 12:51 door Anoniem
Tijd om weer eens ouderwets te whitebox testen: https://github.com/Sab0tag3d/SIET

Denk aan "fl.exe" malware en trojanen als "heriplor".

De eerste smart install exploit verhalen kwamen via generieke detectie van Symantec over staatsacteurs in Turkije en Zwitserland en nu als kennelijk uit Rusland afkomstig. Dit startte al vanaf het omineuze jaar 2011 en kijk eens hoe Symantec met de certificaatveiligheid de kluit later zo heeft belazerd, dat ze hun hele certificatiepoot gewoon later moesten afstoten. DNS = a bitch!, folks! Gelooft u dus alles wat u verteld wordt via de officiële kanalen? Zou het sommigen wel niet eens heel goed uit kunnen komen, ook vanwege de pecunia?

"Trust" is een groot goed bij infrastructuur-veiligheid en waar vertrouwen het raam al uitgevlogen lijkt. Daar en dan is het heel moeilijk dat basisvertrouwen weer terug te krijgen.

We zijn al een paar keer te vaak op het verkeerde been gezet. Er is te veel discrepantie tussen het vertelde verhaal en de werkelijke toestand, zeker waar dit verhaal ter ore komt van beslissers zonder voldoende kennis en inzicht of "dumbed down" en/of incompetente lieden, die over instellingen en configuraties moeten gaan, Daarnaast ben je ook nog altijd van 3rd parties afhankelijk, die weer andere risico's toevoegen (vanwege wat voor belangen dan ook).

Geen tijd om maar rustig te gaan slapen. Uw slimme meters lopen en vertellen meer over u dan u lief is. Ook dat soort data is goud voor wie er wat mee wil en ja dat kunnen ook vreemde staatsacteurs zijn via gerichte mail campagnes, watering hole attacks, etc. Het kan ook door eigen diensten worden gedaan om buitenstaanders de schuld in de schoenen te schuiven. Het blijft een schimmig wereldje, mijnheer Robert Mueller.

Jodocus Oyevaer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.