Cisco meldt inbraak op zes servers via SaltStack-kwetsbaarheid
Aanvallers zijn er begin deze maand in geslaagd om op zes servers van Cisco in te breken via een kwetsbaarheid in het SaltStack Framework, ook bekend als Salt. Dat heeft het netwerkbedrijf zelf in een security-advisory bekendgemaakt.
Het gaat om servers van Cisco's Virtual Internet Routing Lab Personal Edition (VIRL-PE). Dit is een platform om verschillende besturingssystemen van Cisco te emuleren, zoals IOS, IOS XR en NX-OS. Gebruikers kunnen zo netwerksimulaties zonder de vereiste hardware uitvoeren. Voor het beheer van de VIRL-PE-servers maakt Cisco gebruik van SaltStack. Het is een op Python gebaseerde, opensourceconfiguratiebeheertool.
Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. Cisco had de update niet op tijd geïnstalleerd, waardoor aanvallers in totaal zes servers konden compromitteren. De gecompromitteerde servers werden op 7 mei offline gehaald, opgeschoond en geüpdatet. Verdere details over de inbraak zijn niet gegeven.
Daarnaast waarschuwt het netwerkbedrijf klanten dat Cisco Modeling Labs Corporate Edition en Virtual Internet Routing Lab Personal Edition, die door klanten in een standalone of clusterconfiguratie kunnen worden gebruikt, ook kwetsbaar zijn door de Salt-kwetsbaarheden. Cisco heeft dan ook updates voor de software uitgebracht.
Cisco is niet het enige bedrijf dat via het Salt-lek werd gecompromitteerd. Eerder wisten aanvallers via de kwetsbaarheid toegang te krijgen tot servers van mobiel besturingssysteem LineageOS, zoekfunctieprovider Algolia en certificaatautoriteit DigiCert.
Dat vraag ik me niet af. Maar wees zo vrij om me te overtuigen.
Wij krijgen vanuit ons SOC dagelijks een hele lijst met kwetsbaarheden op software en hardware van verschillende vendoren die we moeten gaan patchen. Ik schrik altijd hoeveel er dat bij Cisco zijn. Ook een drama bij sommige producten met allerlei afhankelijkheden te upgraden of te patchen. Ik zie ze als netwerk speler die iets met security zijn gaan doen.Het zou eerder omgekeerd moeten zijn lijkt mij. Eerst je security op orde en dan de rest.
Wij krijgen vanuit ons SOC dagelijks een hele lijst met kwetsbaarheden op software en hardware van verschillende vendoren die we moeten gaan patchen. Ik schrik altijd hoeveel er dat bij Cisco zijn. Ook een drama bij sommige producten met allerlei afhankelijkheden te upgraden of te patchen. Ik zie ze als netwerk speler die iets met security zijn gaan doen.Het zou eerder omgekeerd moeten zijn lijkt mij. Eerst je security op orde en dan de rest.
Tja, Cisco heeft veel producten met meerdere mogelijke functies. Hier kijken we ook altijd even op als we de waslijst aan kwetsbaarheden voorbij zien komen. Echter worden niet heel vaak geraakt door een van die kwetsbaarheden.
Ik heb wel het idee dat ze het serieus nemen. Goed beheer, implementatie en hardening zal bij iedere vendor wel blijven.
Moet ik wel zeggen, veel Cisco omgevingen die ik tegen kom lopen achter met updates. En de Cisco beheerders vinden het vaak niet nodig om te patchen. Want: werkt toch?
Wij krijgen vanuit ons SOC dagelijks een hele lijst met kwetsbaarheden op software en hardware van verschillende vendoren die we moeten gaan patchen. Ik schrik altijd hoeveel er dat bij Cisco zijn. Ook een drama bij sommige producten met allerlei afhankelijkheden te upgraden of te patchen. Ik zie ze als netwerk speler die iets met security zijn gaan doen.Het zou eerder omgekeerd moeten zijn lijkt mij. Eerst je security op orde en dan de rest.
Tja, Cisco heeft veel producten met meerdere mogelijke functies. Hier kijken we ook altijd even op als we de waslijst aan kwetsbaarheden voorbij zien komen. Echter worden niet heel vaak geraakt door een van die kwetsbaarheden.
Ik heb wel het idee dat ze het serieus nemen. Goed beheer, implementatie en hardening zal bij iedere vendor wel blijven.
Moet ik wel zeggen, veel Cisco omgevingen die ik tegen kom lopen achter met updates. En de Cisco beheerders vinden het vaak niet nodig om te patchen. Want: werkt toch?
Zeker, dit was bij ons niet anders totdat we geraakt werden door een kwetsbaarheid en daardoor een dag eruit hebben gelegen. Ondanks dat ze het misschien goed voor elkaar hebben kijken we nu wel naar een andere oplossing. Een security vendor die zowel NFGW, switching, wireless, endpoint etc in het portfolio heeft. Met een centraal management platform. En dan ook echt een platform ipv 36 consoles waar we op in moeten loggen van bij elkaar geraapte overnames die niet goed geïntegreerd zijn. Zal ons leven als beheerders in ieder geval een stuk eenvoudiger maken. :-)
Wij krijgen vanuit ons SOC dagelijks een hele lijst met kwetsbaarheden op software en hardware van verschillende vendoren die we moeten gaan patchen. Ik schrik altijd hoeveel er dat bij Cisco zijn. Ook een drama bij sommige producten met allerlei afhankelijkheden te upgraden of te patchen. Ik zie ze als netwerk speler die iets met security zijn gaan doen.Het zou eerder omgekeerd moeten zijn lijkt mij. Eerst je security op orde en dan de rest.
Tja, Cisco heeft veel producten met meerdere mogelijke functies. Hier kijken we ook altijd even op als we de waslijst aan kwetsbaarheden voorbij zien komen. Echter worden niet heel vaak geraakt door een van die kwetsbaarheden.
Ik heb wel het idee dat ze het serieus nemen. Goed beheer, implementatie en hardening zal bij iedere vendor wel blijven.
Moet ik wel zeggen, veel Cisco omgevingen die ik tegen kom lopen achter met updates. En de Cisco beheerders vinden het vaak niet nodig om te patchen. Want: werkt toch?
Zeker, dit was bij ons niet anders totdat we geraakt werden door een kwetsbaarheid en daardoor een dag eruit hebben gelegen. Ondanks dat ze het misschien goed voor elkaar hebben kijken we nu wel naar een andere oplossing. Een security vendor die zowel NFGW, switching, wireless, endpoint etc in het portfolio heeft. Met een centraal management platform. En dan ook echt een platform ipv 36 consoles waar we op in moeten loggen van bij elkaar geraapte overnames die niet goed geïntegreerd zijn. Zal ons leven als beheerders in ieder geval een stuk eenvoudiger maken. :-)
Wij krijgen vanuit ons SOC dagelijks een hele lijst met kwetsbaarheden op software en hardware van verschillende vendoren die we moeten gaan patchen. Ik schrik altijd hoeveel er dat bij Cisco zijn. Ook een drama bij sommige producten met allerlei afhankelijkheden te upgraden of te patchen. Ik zie ze als netwerk speler die iets met security zijn gaan doen.Het zou eerder omgekeerd moeten zijn lijkt mij. Eerst je security op orde en dan de rest.
Tja, Cisco heeft veel producten met meerdere mogelijke functies. Hier kijken we ook altijd even op als we de waslijst aan kwetsbaarheden voorbij zien komen. Echter worden niet heel vaak geraakt door een van die kwetsbaarheden.
Ik heb wel het idee dat ze het serieus nemen. Goed beheer, implementatie en hardening zal bij iedere vendor wel blijven.
Moet ik wel zeggen, veel Cisco omgevingen die ik tegen kom lopen achter met updates. En de Cisco beheerders vinden het vaak niet nodig om te patchen. Want: werkt toch?
Zeker, dit was bij ons niet anders totdat we geraakt werden door een kwetsbaarheid en daardoor een dag eruit hebben gelegen. Ondanks dat ze het misschien goed voor elkaar hebben kijken we nu wel naar een andere oplossing. Een security vendor die zowel NFGW, switching, wireless, endpoint etc in het portfolio heeft. Met een centraal management platform. En dan ook echt een platform ipv 36 consoles waar we op in moeten loggen van bij elkaar geraapte overnames die niet goed geïntegreerd zijn. Zal ons leven als beheerders in ieder geval een stuk eenvoudiger maken. :-)
Waarin? Het bijscholen in het patchen van brakke software?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
