image

Cisco-routers door beveiligingslekken op afstand over te nemen

donderdag 16 juli 2020, 09:54 door Redactie, 12 reacties

Verschillende modellen Cisco-routers zijn door beveiligingslekken op afstand over te nemen. De netwerkfabrikant kwam gisterenavond met beveiligingsupdates voor de vier kwetsbaarheden, die alle vier op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 zijn beoordeeld.

De beveiligingslekken zijn aanwezig in de RV110W, RV130, RV130W en RV215W. Deze vpn-routers zijn volgens Cisco bedoeld voor het mkb. Drie van de vier kwetsbaarheden (CVE-2020-3331, CVE-2020-3144 en CVE-2020-3323) zijn aanwezig in de webmanagementinterface van de router en worden veroorzaakt door het niet goed valideren van gebruikersinvoer en verkeerd sessiebeheer. Door het versturen van een speciaal geprepareerd http-verzoek naar een kwetsbare router kan een aanvaller beheerderstoegang krijgen of willekeurige code met rootrechten uitvoeren.

De vierde kwetsbaarheid (CVE-2020-3330) is alleen aanwezig in de RV110W-router en bevindt zich in de Telnet-dienst. Die maakt namelijk gebruik van een statisch standaard account en wachtwoord. Via dit standaard "high-privileged" account kan een aanvaller inloggen en de router volledig overnemen, aldus de uitleg van Cisco. Voor geen van de kwetsbaarheden is een workaround beschikbaar. Gebruikers worden dan ook opgeroepen om de beschikbaar gemaakte beveiligingsupdates te installeren.

Reacties (12)
16-07-2020, 10:31 door Anoniem
Dat er nog steeds telnet ondersteuning in zit is eigenlijk al een security issue op zich…
16-07-2020, 10:54 door Anoniem
Kwetsbaarheden in de management interface. Ik begrijp niet goed waarom daar dan een 9.8 aan komt te hangen,
betekent dat niet dat die waarderingsschaal een beetje aan het ontsporen is?
(krijgen we straks een 9.9, 9.9+, 9.9++ etc?)

Het lijkt me dat een kwetsbaarheid in de management interface niet te exploiteren is vanaf internet en dat mag toch
ook wel terug komen in de waardering. Bijvoorbeeld dat alleen kwetsbaarheden die vanaf internet aan te vallen
zijn een waardering 8 of hoger kunnen krijgen.
16-07-2020, 11:23 door Anoniem
Probleem Cisco mbt veiligheid is al jaren bekend. Van particulieren snap ik wel dat er Cisco (per ongeluk) wordt aangeschaft. VAn bedrijven begrijp ik niet waarom men die fabrikant niet blacklist. Want zelden waren/zijn backdoors zo prominent en veelvuldig aanwezig. Cisco is erg goedkoop zeker...
16-07-2020, 11:25 door User2048
Door Anoniem: Kwetsbaarheden in de management interface. Ik begrijp niet goed waarom daar dan een 9.8 aan komt te hangen,
betekent dat niet dat die waarderingsschaal een beetje aan het ontsporen is?
(krijgen we straks een 9.9, 9.9+, 9.9++ etc?)

Het lijkt me dat een kwetsbaarheid in de management interface niet te exploiteren is vanaf internet en dat mag toch
ook wel terug komen in de waardering. Bijvoorbeeld dat alleen kwetsbaarheden die vanaf internet aan te vallen
zijn een waardering 8 of hoger kunnen krijgen.
Op de website van Cisco wordt toegelicht dat de kwetsbaarheid is te misbruiken zonder privileges en zonder gebruikersinteractie (zie https://tools.cisco.com/security/center/cvssCalculator.x?version=3.0&vector=CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Het verschil tussen een aanval vanaf het internet en een aanval vanaf het interne netwerk is dan één onoplettende medewerker die in een phishing email trapt. Naar mijn mening is een 9.8 dan wel terecht.
16-07-2020, 12:11 door Anoniem
Door Anoniem: Kwetsbaarheden in de management interface. Ik begrijp niet goed waarom daar dan een 9.8 aan komt te hangen,
betekent dat niet dat die waarderingsschaal een beetje aan het ontsporen is?
(krijgen we straks een 9.9, 9.9+, 9.9++ etc?)

Het lijkt me dat een kwetsbaarheid in de management interface niet te exploiteren is vanaf internet en dat mag toch
ook wel terug komen in de waardering. Bijvoorbeeld dat alleen kwetsbaarheden die vanaf internet aan te vallen
zijn een waardering 8 of hoger kunnen krijgen.

Het is fijn dat jij er zo over denkt, maar niet zo relevant. Er zijn namelijk naast jou nog duizenden mensen met kennis die hier een mening over hebben, en ze zijn het niet altijd eens. Daarom worden er standaarden ontwikkeld: om een gemeenschappelijke manier te hebben om zaken te beoordelen. Zo ook voor de CVSS score.
De CVSS score is door een grote groep specialisten ontwikkeld op basis van een systematiek die herhaalbaar en objectief toetsbaar is. Die wordt wereldwijd gebruikt en ook hier. Daar is 9,8 uit gekomen.

Ik zou zeggen: reken hem eens na volgens https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System
Normaal staat hij ook al met toelichting bij de CVE database van Mitre (https://cve.mitre.org/cve/), maar deze kennelijk nu nog niet (te vers?)

Q
16-07-2020, 12:16 door karma4
Door Anoniem: Probleem Cisco mbt veiligheid is al jaren bekend. Van particulieren snap ik wel dat er Cisco (per ongeluk) wordt aangeschaft. VAn bedrijven begrijp ik niet waarom men die fabrikant niet blacklist. Want zelden waren/zijn backdoors zo prominent en veelvuldig aanwezig. Cisco is erg goedkoop zeker...
Cisco heeft ca 50% van de markt, is zeker niet goedkoop.
https://www.idc.com/getdoc.jsp?containerId=prUS46123820 De eerste concurrent is ... Huawai.
16-07-2020, 12:38 door Anoniem
Door Anoniem: Probleem Cisco mbt veiligheid is al jaren bekend. Van particulieren snap ik wel dat er Cisco (per ongeluk) wordt aangeschaft. VAn bedrijven begrijp ik niet waarom men die fabrikant niet blacklist. Want zelden waren/zijn backdoors zo prominent en veelvuldig aanwezig. Cisco is erg goedkoop zeker...
Dit is wel heel zwart wit. Zakelijk gezien is en blijft Cisco een goede keuze en met de juiste status en contacten in het sales kanaal zijn de prijzen niet zoveel anders dan bij anderen. Het grote nadeel is dat veel bedrijven voor Cisco kiezen want...Cisco. Verder kijken dan je neus lang is en eens durven met een andere vendor is ook iets. Elke vendor heeft zijn sterke en zwakke punten.
16-07-2020, 12:55 door johanw
Alweer een standaard account. Je zou denken dat de NSA eindelijk eens wat anders zou verzinnen.
16-07-2020, 15:01 door Anoniem
Maar gelukkig gebruiken we geen Huawei...
Na 30 jaar in de telecom business heb ik nog steeds geen achterdeur gespot in Huawei maar heb ik al meer dan 7 keer dit gespot in amerikaanse meuk en zo'n 420 lekken gezien die meer op een achterdeur lijken dan dom programmeerwerk.

zeg nu eerlijk, in 2020 mag je toch geen vaste accounts+wachtwoorden meer gebruiken in ROUTER software?
dat is niet eens meer sterk nalatig, dat is gewoon NSA/CIA broddelwerk.
17-07-2020, 08:22 door Bitje-scheef
Door Anoniem: Maar gelukkig gebruiken we geen Huawei...
Na 30 jaar in de telecom business heb ik nog steeds geen achterdeur gespot in Huawei maar heb ik al meer dan 7 keer dit gespot in amerikaanse meuk en zo'n 420 lekken gezien die meer op een achterdeur lijken dan dom programmeerwerk.

zeg nu eerlijk, in 2020 mag je toch geen vaste accounts+wachtwoorden meer gebruiken in ROUTER software?
dat is niet eens meer sterk nalatig, dat is gewoon NSA/CIA broddelwerk.


Nee ik ook niet, maar dat wil niet zeggen dat het er niet is. Misschien verstoppen ze het wel beter als Cisco.
19-07-2020, 17:21 door Anoniem
Nah als hacker zijnde, sommige programmeurs maken nogsteeds domme foutjes (mensenwerk) en veel managers pushen de broodjes ongebakken over de toonbank (stomme keuzes) (gaat ook in combinatie met programmeurs die uberhaupt al bij dag 1 communiceren opgeven) sadly.

Daarbij, laat het WAN evil LAN veilig idee los alstjeblieft. Hackers en pentesters komen regelmatig tijdens een test in een flat netwerk waar telnet met dit soort exploits bereikbaar is.

O EN NOG HET BELANGRIJKSTE:
jongens blijf lief tegen elkaar, we werken samen aan een veiliger nederland/IT. ;) have fun
20-07-2020, 14:16 door Anoniem
Door Anoniem: Dat er nog steeds telnet ondersteuning in zit is eigenlijk al een security issue op zich…
Onzin, je kunt de service in en uit schakelen, probleem zit bij de mens die het apparaat configureert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.