image

Metaaldetectoren via kritieke kwetsbaarheden op afstand aan te passen

dinsdag 21 december 2021, 11:55 door Redactie, 5 reacties

Onderzoekers van Cisco hebben in metaaldetectoren van fabrikant Garrett verschillende kritieke kwetsbaarheden gevonden waardoor het mogelijk is voor aanvallers om de configuratie op afstand aan te passen of willekeurige code op de apparaten uit te voeren.

De in totaal negen beveiligingslekken zijn aanwezig in de Garrett iC Module. Deze module biedt netwerkconnectiviteit voor verschillende metaaldetectoren van Garett en maakt het mogelijk voor remote gebruikers om allerlei statistieken te bekijken, zoals het aantal alarmen dat is afgegaan en het aantal gecontroleerde bezoekers. Tevens kan op afstand de configuratie van de metaaldetector worden aangepast, zoals het aanpassen van de gevoeligheid van de machines.

De gevaarlijkste beveiligingslekken (CVE-2021-21901 en CVE-2021-21903) in de module maken het mogelijk voor een ongeauthenticeerde aanvaller om door het versturen van een speciaal geprepareerd pakket een buffer overflow te veroorzaken en vervolgens willekeurige code uit te voeren. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld.

De overige zeven kwetsbaarheden maken remote code execution, session hijacking en path traversal mogelijk, maar hebben een lagere impactscore. De fabrikant werd op 17 augustus door Cisco over de kwetsbaarheden ingelicht en maakte op 13 december beveiligingsupdates beschikbaar. Daarop zijn nu de details van de beveiligingslekken door Cisco openbaar gemaakt.

Reacties (5)
21-12-2021, 13:31 door Anoniem
Altijd bijzonder waarom grote jongens als Cisco zich richten op beveiligingslekken bij andere bedrijven, terwijl hun eigen producten ook beveiligingslekken bevatten. Zouden ze die energie niet beter op het verbeteren van de veiligheid van hun eigen producten kunnen steken? Het lijkt wel een soort afleidingsmanoeuvre om hun eigen tekortkomingen te verbloemen.
21-12-2021, 17:41 door MathFox
Door Anoniem: Altijd bijzonder waarom grote jongens als Cisco zich richten op beveiligingslekken bij andere bedrijven, terwijl hun eigen producten ook beveiligingslekken bevatten. Zouden ze die energie niet beter op het verbeteren van de veiligheid van hun eigen producten kunnen steken? Het lijkt wel een soort afleidingsmanoeuvre om hun eigen tekortkomingen te verbloemen.
Ga er van uit dat deze teams ook naar de eigen soft- en hardware kijken. Een andere optie is dat monitoring bij een klant of een pentest of netwerkscan bij een klant reden is om bepaalde apparatuur eens nader aan de tand te voelen. In dit soort gevallen zitten niet alle klanten te springen om publiciteit.
21-12-2021, 20:50 door Anoniem
Door Anoniem: Altijd bijzonder waarom grote jongens als Cisco zich richten op beveiligingslekken bij andere bedrijven, terwijl hun eigen producten ook beveiligingslekken bevatten. Zouden ze die energie niet beter op het verbeteren van de veiligheid van hun eigen producten kunnen steken? Het lijkt wel een soort afleidingsmanoeuvre om hun eigen tekortkomingen te verbloemen.

Red teaming is meer sexy, levert meer op, en is beter voor je carriere dan bugs fixen en//of zorgen dat hackers buiten blijven. Ooit gezien dat blue teamers duizenden euro's krijgen voor hun goede werk?

Ook het melden van bugs in de producten van je baas wordt vaak niet op prijs gesteld in veel bedrijven. Dus pak je de producten van de concullega's maar.
21-12-2021, 22:04 door MathFox
Door Anoniem: Ook het melden van bugs in de producten van je baas wordt vaak niet op prijs gesteld in veel bedrijven. Dus pak je de producten van de concullega's maar.
Bij een beetje professionele organisatie kun je (security) bugs melden en dan worden ze verholpen. Heb ik een aantal keer gedaan zonder repercussies. Natuurlijk wordt een dergelijke fix niet groot uitgemeten naar buiten gebracht.
22-12-2021, 00:14 door Anoniem
Door Anoniem: Altijd bijzonder waarom grote jongens als Cisco zich richten op beveiligingslekken bij andere bedrijven, terwijl hun eigen producten ook beveiligingslekken bevatten. Zouden ze die energie niet beter op het verbeteren van de veiligheid van hun eigen producten kunnen steken? Het lijkt wel een soort afleidingsmanoeuvre om hun eigen tekortkomingen te verbloemen.

Waarom wil je zo graag laten zien dat je geen fuck van de IT business snapt , en daarom maar complotten en afleidingen verzint ?

Cisco heeft ook een Threat Intelligence service (TALOS) - die kun je als klant afnemen voor _allerhande_ security analyses. Het zou geen goede business zijn als ze alleen maar naar andere Cisco producten keken .
Sterker - daar zou ik als klant geen aparte dienst voor afnemen, dat verwacht ik gewoon als patches en updates.

En wanneer ik me als klant afvraag of een security vendor/threat intelligence dienst een beetje goed is - kan ik alleen maar kijken naar wat ze gevonden en gepubliceerd hebben.

En om eerlijk te zijn, vondsten in hun eigen spullen zou ik maar half waarderen - "ja ja, lekker makkelijk, source erbij, zicht op de bug rapporten van klanten, zo is het makkelijk zoeken" . (Ja - Het _is_ makkelijker zoeken als de klanten het creatieve gebruik, de crashes, en feitelijk de fuzzing al aangeleverd hebben. En de source kunnen zien scheelt ook).
Plus dat je de verdenking kunt hebben dat vondsten in eigen producten stilletjes op de lange termijn gepatched worden, en niet gemeld met een 90 dagen tot publicatie deadline.

Je kunt er behoorlijk zeker van zijn dat dit probleem gevonden is omdat een van de klanten deze metaaldetectoren heeft en een analyse bestelde - of er in het wild mee aangevallen werd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.