VS geeft meer details over aanvallen op slecht beheerde Cisco-routers in 2021
In 2021 werden Cisco-routers in onder andere Europa en de Verenigde Staten het doelwit van aanvallen, waarbij de aanvallers malware installeerden om toegang te behouden. Nu blijkt dat de aanvallers misbruik maakten van een kwetsbaarheid waarvoor Cisco al in 2017 beveiligingsupdates had uitgebracht, zo melden de Amerikaanse en Britse autoriteiten in een gezamenlijke advisory.
De FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) claimen dat de aanvallen het werk waren van een Advanced Persistent Threat (APT)-groep genaamd APT28, die ook bekendstaat als Fancy Bear. De groep zou volgens de diensten aan de Russische geheime dienst GRU gelieerd zijn.
Volgens de Amerikaanse en Britse diensten heeft APT28 in 2021 een aantal aanvallen tegen organisaties in Europa, Amerikaanse overheidsinstellingen en Oekraïne uitgevoerd voor verkenningsdoeleinden, waarbij er op sommige Cisco-routers malware werd geïnstalleerd. Bij deze aanvallen werd misbruik gemaakt van CVE-2017-6742, een kwetsbaarheid waarvoor al sinds juni 2017 een patch beschikbaar is.
Het beveiligingslek bevindt zich in het Simple Network Management Protocol (SNMP) subsysteem van Cisco IOS en IOS XE, de software die op routers van het bedrijf draait. Via de kwetsbaarheid kan een geauthenticeerde aanvaller op afstand code op Cisco-routers installeren. SNMP maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden ook toegang tot het apparaat te krijgen.
Net voor het uitkomen van de gezamenlijke advisory van de Amerikaanse en Britse autoriteiten kwam Cisco zelf met een update van het beveiligingsbulletin uit 2017, waarin het laat weten dat in totaal acht SNMP-gerelateerde kwetsbaarheden zijn misbruikt bij aanvallen. De FBI, NSA, CISA en NCSC stellen dat de aanvallen tegen kwetsbare Cisco-routers nog steeds mogelijk zijn. Organisaties worden dan ook opgeroepen om updates te installeren en verdere mitigerende maatregelen te nemen.
Hoe veel SOC, SIEM en meer je ook hebt, als je de basis niet onder de knie hebt, is het dweilen met de kraan open...
Maar ik heb niks te klagen, aangezien mijn persoonlijke IT veiligheid net zo'n ramp is.
Hergebruikte wachtwoorden, ongeorganiseerde backups, oude telefoon, etc...
Tijd voor een lenteschoonmaak!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
