Cisco-switches in vitale infrastructuur doelwit van aanvallen
Cisco-switches die binnen de vitale infrastructuur worden gebruikt zijn het doelwit van aanvallen geworden, zo heeft de netwerkgigant laten weten. Volgens Cisco maken "specifieke geraffineerde actoren" gebruik van een kwetsbaarheid in de Cisco Smart Install Client.
In verschillende landen hebben zich inmiddels incidenten voorgedaan. Daarbij zijn ook systemen in de vitale infrastructuur het doelwit geworden. Sommige van deze aanvallen zouden mogelijk door landen zijn uitgevoerd, aldus Cisco in een waarschuwing. Vorig jaar februari waarschuwde de netwerkgigant al dat aanvallers naar Smart Install Clients aan het scannen waren. Een aantal maanden later in augustus gaf de Australische overheid een waarschuwing af dat Cisco-routers en -switches werden aangevallen.
Smart Install is een 'plug-and-play' feature voor het configureren en uitrollen van switches. Volgens Cisco is het een legacy-tool om "no-touch" installaties van nieuwe Cisco-apparatuur mogelijk te maken. Vanwege de scans die vorig jaar plaatsvonden publiceerde Cisco een scantool en een blogposting. Het Smart Install-protocol kan worden misbruikt om de TFTP-serverinstellingen aan te passen, configuratiebestanden te stelen via TFTP, het configuratiebestand aan te passen, het IOS-image van de router of switch te vervangen, accounts aan te maken of IOS-commando's uit te voeren. IOS is het besturingssysteem dat op de netwerkapparatuur van Cisco draait.
Volgens Cisco is er geen sprake van een kwetsbaarheid in de "klassieke zin" van het woord, maar is misbruik van het protocol een aanvalsvector die direct moet worden verholpen, aldus de netwerkgigant. Die besloot te kijken hoeveel systemen kwetsbaar zijn en ontdekte meer dan 168.000 systemen die via de Cisco Smart Install Client risico lopen. Beheerders van Cisco-apparaten krijgen dan ook het advies om te controleren of hun apparatuur kwetsbaar is. In deze blogposting geeft Cisco enkele aanwijzingen om het probleem te verhelpen.
Doet het altijd goed in verkoopfolders en in presentaties van mannen in nette pakken. Techneuten hebben daar meestal
minder mee en nu blijkt maar weer waarom.
Doet het altijd goed in verkoopfolders en in presentaties van mannen in nette pakken. Techneuten hebben daar meestal
minder mee en nu blijkt maar weer waarom.
Die "techneuten" die management adressen van switches vanaf Internet bereikbaar laten zijn ?
De feature is inmiddels achterhaald in implementatie, maar een beetje ervaren en professionele techneut loopt wel degelijk warm voor dingen als 'gecentraliseerd beheer' , 'remote management ', 'auto deploy' en dat soort dingen.
De tijd dat een nerd met bril, baard, zwart t-shirt met grappige tekst, laptop vol met pinguin (of daemon) stickers ter plekke de switch kwam ophangen en dan met z'n RS-232 console kabeltje erin configuratie kwam designen, implementeren en hopelijk nog een beetje testen is toch echt achterhaald.
Die tijd dat je als collega (of opvolger) aan de configuratie stijl zag wie 'm neergezet had.
Zo wil je echt niet werken als je een heel klein beetje schaal hebt - een goede standaard configuratie wil je één keer maken, en dan overal gestructureerd deployen, zo automatisch mogelijk. Voor het inschroeven en kabels inprikken hoor je geen netwerk engineer nodig te hebben - die zorgt dat alles _daarna_ vanzelf goed komt. En goed blijft.
Met een filtertje voor zijn IP reeks was er een werkende workaround.
Doet het altijd goed in verkoopfolders en in presentaties van mannen in nette pakken. Techneuten hebben daar meestal
minder mee en nu blijkt maar weer waarom.
Die "techneuten" die management adressen van switches vanaf Internet bereikbaar laten zijn ?
De feature is inmiddels achterhaald in implementatie, maar een beetje ervaren en professionele techneut loopt wel degelijk warm voor dingen als 'gecentraliseerd beheer' , 'remote management ', 'auto deploy' en dat soort dingen.
De tijd dat een nerd met bril, baard, zwart t-shirt met grappige tekst, laptop vol met pinguin (of daemon) stickers ter plekke de switch kwam ophangen en dan met z'n RS-232 console kabeltje erin configuratie kwam designen, implementeren en hopelijk nog een beetje testen is toch echt achterhaald.
Die tijd dat je als collega (of opvolger) aan de configuratie stijl zag wie 'm neergezet had.
Zo wil je echt niet werken als je een heel klein beetje schaal hebt - een goede standaard configuratie wil je één keer maken, en dan overal gestructureerd deployen, zo automatisch mogelijk. Voor het inschroeven en kabels inprikken hoor je geen netwerk engineer nodig te hebben - die zorgt dat alles _daarna_ vanzelf goed komt. En goed blijft.
Als er 168.000 kwetsbare systemen operationeel zijn, dan zijn er nogal veel professionele techneuten die die hun werk niet zo goed doen. Maar het zou natuurlijk ook kunnen dat de producten van Cisco niet zo veilig zijn als je zou verwachten.
Denk aan "fl.exe" malware en trojanen als "heriplor".
De eerste smart install exploit verhalen kwamen via generieke detectie van Symantec over staatsacteurs in Turkije en Zwitserland en nu als kennelijk uit Rusland afkomstig. Dit startte al vanaf het omineuze jaar 2011 en kijk eens hoe Symantec met de certificaatveiligheid de kluit later zo heeft belazerd, dat ze hun hele certificatiepoot gewoon later moesten afstoten. DNS = a bitch!, folks! Gelooft u dus alles wat u verteld wordt via de officiële kanalen? Zou het sommigen wel niet eens heel goed uit kunnen komen, ook vanwege de pecunia?
"Trust" is een groot goed bij infrastructuur-veiligheid en waar vertrouwen het raam al uitgevlogen lijkt. Daar en dan is het heel moeilijk dat basisvertrouwen weer terug te krijgen.
We zijn al een paar keer te vaak op het verkeerde been gezet. Er is te veel discrepantie tussen het vertelde verhaal en de werkelijke toestand, zeker waar dit verhaal ter ore komt van beslissers zonder voldoende kennis en inzicht of "dumbed down" en/of incompetente lieden, die over instellingen en configuraties moeten gaan, Daarnaast ben je ook nog altijd van 3rd parties afhankelijk, die weer andere risico's toevoegen (vanwege wat voor belangen dan ook).
Geen tijd om maar rustig te gaan slapen. Uw slimme meters lopen en vertellen meer over u dan u lief is. Ook dat soort data is goud voor wie er wat mee wil en ja dat kunnen ook vreemde staatsacteurs zijn via gerichte mail campagnes, watering hole attacks, etc. Het kan ook door eigen diensten worden gedaan om buitenstaanders de schuld in de schoenen te schuiven. Het blijft een schimmig wereldje, mijnheer Robert Mueller.
Jodocus Oyevaer
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
