image

Aanval op Cisco-switches raakt providers in Iran en Rusland

zondag 8 april 2018, 10:20 door Redactie, 13 reacties

Sinds vrijdag vindt er een grote aanval op Cisco-switches en -routers plaats waarbij de apparaten tijdelijk onbereikbaar worden en internetgebruikers geen toegang tot internet hebben. De aanvallers lijken het daarbij specifiek op Iraanse en Russische providers te hebben voorzien.

Bij de aanval wordt het besturingssysteem van de Cisco-switches overschreven en het configuratiebestand vervangen door de boodschap "Do not mess with our elections" en een Amerikaanse vlag in ASCII-art. Vervolgens wordt de Switch onbereikbaar, zo meldt anti-virusbedrijf Kaspersky Lab. De Iraanse minister van ict Azari Jahromi laat op Twitter weten dat 3500 switches in Iran zijn getroffen, waaronder die in datacentra en van internetproviders. Om de systemen te herstellen moesten experts fysiek ter plekke zijn, aldus het Iraans persbureau INRA. Inmiddels zou 95 procent van de getroffen switches in Iran weer zijn hersteld.

Volgens Kaspersky Lab, dat ook aanvallen tegen het Russische sprekende deel van het internet meldt, lijkt het erop dat er een bot is die via de IoT-zoekmachine Shodan naar kwetsbare Cisco-switches zoekt. Afgelopen donderdag waarschuwde Cisco dat Cisco-switches die binnen de vitale infrastructuur worden gebruikt het doelwit van aanvallen zijn geworden. De aanvallers maken misbruik van het Cisco Smart Install Client-protocol, dat "by design" geen authenticatie vereist. Smart Install is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van switches.

Het Smart Install-protocol kan echter ook door aanvallers worden misbruikt om de TFTP-serverinstellingen aan te passen, configuratiebestanden te stelen via TFTP, het configuratiebestand aan te passen, het IOS-image van de router of switch te vervangen, accounts aan te maken of IOS-commando's uit te voeren. IOS is het besturingssysteem dat op de netwerkapparatuur van Cisco draait. De netwerkgigant heeft een scan uitgevoerd waaruit blijkt dat 168.000 switches en routers via de Cisco Smart Install Client zijn blootgesteld. Het gaat in dit geval om apparaten waar het protocol is ingeschakeld en die via tcp-poort 4786 voor internet toegankelijk zijn.

Image

Reacties (13)
08-04-2018, 11:08 door Anoniem
Wel duidelijk wie hier achter zit. Het westen die iedereen beschuldigt en het zelf doet.
08-04-2018, 12:55 door Anoniem
Door Anoniem: Wel duidelijk wie hier achter zit. Het westen die iedereen beschuldigt en het zelf doet.
Valse Vlag Operatie wordt dat genoemd.
08-04-2018, 12:59 door Anoniem
Door Anoniem: Wel duidelijk wie hier achter zit. Het westen die iedereen beschuldigt en het zelf doet.

nah, nu is het WEL een false flag natuurlijk, bedoeld om landen te motiveren geen amerikaanse hardware te kopen.
08-04-2018, 13:07 door Anoniem
Deze l33t state actors met hun shodan gedreven botnetjes huldigen het motto:
"Better rule in hell than serve in heaven" (Milton).

Gezien deze uitspraak is de infrasturctuur dus voor sommigen een "dangerous hell hole".
Nu zijn 'vermeende' beinvloeders van de Amerikaanse verkiezingen aan de beurt bij deze aanvallen.

Lees de Cisco IOS Integrety Assurance, Let op eventuele stealthy modificatie van de router firmware,
zoals eerder via SYNFUL Knock malware.

Zoek naar gemodificeerde IOS images, die aanwezig blijven na een reboot.
Een topje van de ijsberg om aan te geven dat het systeem mogelijk is gecompromitteerd.
Re-image in geval van gevonden aanweijzingen van modificatie.

Plug & Play is een gevaarlijke feature en voor wie het ook alweer vergeten is,
hier de instructies om te testen:
https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/2-0/user/guide/Cisco_PnP_Application.html

luntrus
08-04-2018, 14:59 door Anoniem
Motherboard heeft een interview met de daders. Het zijn wat Amerikaanse kiddos zonder hersenen.

https://motherboard.vice.com/en_us/article/a3yn38/election-hacking-vigilante-russia-iran-cisco
08-04-2018, 15:33 door Tha Cleaner
Door Anoniem: Wel duidelijk wie hier achter zit. Het westen die iedereen beschuldigt en het zelf doet.
Jij hebt hier ook hard bewijs van? Dit kan namelijk overal vandaan komen zonder bewijs.

En staat hackers vs script-kiddies is nog wel een ander kaliber.
08-04-2018, 16:29 door Anoniem
De mind fckery en akoustische aanvallen hier nemen toe

Lekker zeg....... je zult maar zulke buren hebben...... wonen in een magnetron
08-04-2018, 16:53 door Anoniem
Door Tha Cleaner:
Door Anoniem: Wel duidelijk wie hier achter zit. Het westen die iedereen beschuldigt en het zelf doet.
Jij hebt hier ook hard bewijs van?..
[sarcasm]Je ziet toch de Amerikaanse vlag[/sarcasm]
08-04-2018, 20:17 door Anoniem
Door Anoniem: Wel duidelijk wie hier achter zit. Het westen die iedereen beschuldigt en het zelf doet.

Dit zegt nog niks, deze groepen kunnen zelf achter de aanval zitten om andere proberen in een kwaad daglicht te zetten ....

De wereld is echt ROT !
08-04-2018, 21:10 door Anoniem
Cisco moet zich in een onmogelijke spagaat bevinden: ze zijn enerzijds verplicht mee te werken aan toegangen tot hun apparatuur en dan gaan anderzijds een stel cowboys hier misbruik van maken zodat straks niemand meer Cisco spul wil kopen.

Als er een bedrijf is wat dit zou verdienen dan zou het eerder Oracle zijn.
08-04-2018, 22:04 door Anoniem
Dat dit geen staatsacteurs zijn geweest is m.i. wel duidelijk.
Staatsacteurs en 'proxies in dienst van' zitten aan een hele korte leiband,
dit in verband met het absoluut vermijden van excessieve "collateral damage".

NSA is zeer beducht voor elke niet strikt noodzakelijke proliferatie.

Maar ja, het infrastructuur theater is de laatste tijd zo veranderd,
dat je ook daar niet geheel zeker van kunt zijn.

Wie is wie in het cold war cyber circus in dit verband?

Jodocus Oyevaer
09-04-2018, 10:33 door Anoniem
Door Anoniem: Cisco moet zich in een onmogelijke spagaat bevinden: ze zijn enerzijds verplicht mee te werken aan toegangen tot hun apparatuur en dan gaan anderzijds een stel cowboys hier misbruik van maken zodat straks niemand meer Cisco spul wil kopen.

Als er een bedrijf is wat dit zou verdienen dan zou het eerder Oracle zijn.

Misvattinkje : Deze feature is niet 'omdat Cisco verplicht is mee te werken aan toegangen tot hun apparatuur' .

Dit is doodgewoon een vrij klassieke auto-install optie die erin zit omdat met name enterprise klanten zoiets graag willen.
Een auto-install die je eerst aan moet zetten is nogal zinloos, want dan is het niet zo 'auto' meer.
Deze implementatie heeft een open poort op IP.

Al sinds decennia is het advies van Cisco en anderen om geen management verkeer van overal naar je netwerk devices toe te laten.
De switches die hier omvallen zijn degenen 'beheerd' door mensen die dat advies niet kennen of niet opgevolgd hebben.
09-04-2018, 11:44 door Anoniem
Scriptkiddies of niet, dit gaat Cisco niet leuk vinden en Huawei e.a. wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.