Aanval op Cisco-switches raakt providers in Iran en Rusland
Sinds vrijdag vindt er een grote aanval op Cisco-switches en -routers plaats waarbij de apparaten tijdelijk onbereikbaar worden en internetgebruikers geen toegang tot internet hebben. De aanvallers lijken het daarbij specifiek op Iraanse en Russische providers te hebben voorzien.
Bij de aanval wordt het besturingssysteem van de Cisco-switches overschreven en het configuratiebestand vervangen door de boodschap "Do not mess with our elections" en een Amerikaanse vlag in ASCII-art. Vervolgens wordt de Switch onbereikbaar, zo meldt anti-virusbedrijf Kaspersky Lab. De Iraanse minister van ict Azari Jahromi laat op Twitter weten dat 3500 switches in Iran zijn getroffen, waaronder die in datacentra en van internetproviders. Om de systemen te herstellen moesten experts fysiek ter plekke zijn, aldus het Iraans persbureau INRA. Inmiddels zou 95 procent van de getroffen switches in Iran weer zijn hersteld.
Volgens Kaspersky Lab, dat ook aanvallen tegen het Russische sprekende deel van het internet meldt, lijkt het erop dat er een bot is die via de IoT-zoekmachine Shodan naar kwetsbare Cisco-switches zoekt. Afgelopen donderdag waarschuwde Cisco dat Cisco-switches die binnen de vitale infrastructuur worden gebruikt het doelwit van aanvallen zijn geworden. De aanvallers maken misbruik van het Cisco Smart Install Client-protocol, dat "by design" geen authenticatie vereist. Smart Install is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van switches.
Het Smart Install-protocol kan echter ook door aanvallers worden misbruikt om de TFTP-serverinstellingen aan te passen, configuratiebestanden te stelen via TFTP, het configuratiebestand aan te passen, het IOS-image van de router of switch te vervangen, accounts aan te maken of IOS-commando's uit te voeren. IOS is het besturingssysteem dat op de netwerkapparatuur van Cisco draait. De netwerkgigant heeft een scan uitgevoerd waaruit blijkt dat 168.000 switches en routers via de Cisco Smart Install Client zijn blootgesteld. Het gaat in dit geval om apparaten waar het protocol is ingeschakeld en die via tcp-poort 4786 voor internet toegankelijk zijn.
nah, nu is het WEL een false flag natuurlijk, bedoeld om landen te motiveren geen amerikaanse hardware te kopen.
"Better rule in hell than serve in heaven" (Milton).
Gezien deze uitspraak is de infrasturctuur dus voor sommigen een "dangerous hell hole".
Nu zijn 'vermeende' beinvloeders van de Amerikaanse verkiezingen aan de beurt bij deze aanvallen.
Lees de Cisco IOS Integrety Assurance, Let op eventuele stealthy modificatie van de router firmware,
zoals eerder via SYNFUL Knock malware.
Zoek naar gemodificeerde IOS images, die aanwezig blijven na een reboot.
Een topje van de ijsberg om aan te geven dat het systeem mogelijk is gecompromitteerd.
Re-image in geval van gevonden aanweijzingen van modificatie.
Plug & Play is een gevaarlijke feature en voor wie het ook alweer vergeten is,
hier de instructies om te testen:
https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/2-0/user/guide/Cisco_PnP_Application.html
luntrus
https://motherboard.vice.com/en_us/article/a3yn38/election-hacking-vigilante-russia-iran-cisco
En staat hackers vs script-kiddies is nog wel een ander kaliber.
Lekker zeg....... je zult maar zulke buren hebben...... wonen in een magnetron
Dit zegt nog niks, deze groepen kunnen zelf achter de aanval zitten om andere proberen in een kwaad daglicht te zetten ....
De wereld is echt ROT !
Als er een bedrijf is wat dit zou verdienen dan zou het eerder Oracle zijn.
Staatsacteurs en 'proxies in dienst van' zitten aan een hele korte leiband,
dit in verband met het absoluut vermijden van excessieve "collateral damage".
NSA is zeer beducht voor elke niet strikt noodzakelijke proliferatie.
Maar ja, het infrastructuur theater is de laatste tijd zo veranderd,
dat je ook daar niet geheel zeker van kunt zijn.
Wie is wie in het cold war cyber circus in dit verband?
Jodocus Oyevaer
Als er een bedrijf is wat dit zou verdienen dan zou het eerder Oracle zijn.
Misvattinkje : Deze feature is niet 'omdat Cisco verplicht is mee te werken aan toegangen tot hun apparatuur' .
Dit is doodgewoon een vrij klassieke auto-install optie die erin zit omdat met name enterprise klanten zoiets graag willen.
Een auto-install die je eerst aan moet zetten is nogal zinloos, want dan is het niet zo 'auto' meer.
Deze implementatie heeft een open poort op IP.
Al sinds decennia is het advies van Cisco en anderen om geen management verkeer van overal naar je netwerk devices toe te laten.
De switches die hier omvallen zijn degenen 'beheerd' door mensen die dat advies niet kennen of niet opgevolgd hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
