Aanvallers zijn er begin deze maand in geslaagd om op zes servers van Cisco in te breken via een kwetsbaarheid in het SaltStack Framework, ook bekend als Salt. Dat heeft het netwerkbedrijf zelf in een security-advisory bekendgemaakt.
Het gaat om servers van Cisco's Virtual Internet Routing Lab Personal Edition (VIRL-PE). Dit is een platform om verschillende besturingssystemen van Cisco te emuleren, zoals IOS, IOS XR en NX-OS. Gebruikers kunnen zo netwerksimulaties zonder de vereiste hardware uitvoeren. Voor het beheer van de VIRL-PE-servers maakt Cisco gebruik van SaltStack. Het is een op Python gebaseerde, opensourceconfiguratiebeheertool.
Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. Cisco had de update niet op tijd geïnstalleerd, waardoor aanvallers in totaal zes servers konden compromitteren. De gecompromitteerde servers werden op 7 mei offline gehaald, opgeschoond en geüpdatet. Verdere details over de inbraak zijn niet gegeven.
Daarnaast waarschuwt het netwerkbedrijf klanten dat Cisco Modeling Labs Corporate Edition en Virtual Internet Routing Lab Personal Edition, die door klanten in een standalone of clusterconfiguratie kunnen worden gebruikt, ook kwetsbaar zijn door de Salt-kwetsbaarheden. Cisco heeft dan ook updates voor de software uitgebracht.
Cisco is niet het enige bedrijf dat via het Salt-lek werd gecompromitteerd. Eerder wisten aanvallers via de kwetsbaarheid toegang te krijgen tot servers van mobiel besturingssysteem LineageOS, zoekfunctieprovider Algolia en certificaatautoriteit DigiCert.
Deze posting is gelocked. Reageren is niet meer mogelijk.