image

VS geeft meer details over aanvallen op slecht beheerde Cisco-routers in 2021

woensdag 19 april 2023, 10:07 door Redactie, 2 reacties

In 2021 werden Cisco-routers in onder andere Europa en de Verenigde Staten het doelwit van aanvallen, waarbij de aanvallers malware installeerden om toegang te behouden. Nu blijkt dat de aanvallers misbruik maakten van een kwetsbaarheid waarvoor Cisco al in 2017 beveiligingsupdates had uitgebracht, zo melden de Amerikaanse en Britse autoriteiten in een gezamenlijke advisory.

De FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) claimen dat de aanvallen het werk waren van een Advanced Persistent Threat (APT)-groep genaamd APT28, die ook bekendstaat als Fancy Bear. De groep zou volgens de diensten aan de Russische geheime dienst GRU gelieerd zijn.

Volgens de Amerikaanse en Britse diensten heeft APT28 in 2021 een aantal aanvallen tegen organisaties in Europa, Amerikaanse overheidsinstellingen en Oekraïne uitgevoerd voor verkenningsdoeleinden, waarbij er op sommige Cisco-routers malware werd geïnstalleerd. Bij deze aanvallen werd misbruik gemaakt van CVE-2017-6742, een kwetsbaarheid waarvoor al sinds juni 2017 een patch beschikbaar is.

Het beveiligingslek bevindt zich in het Simple Network Management Protocol (SNMP) subsysteem van Cisco IOS en IOS XE, de software die op routers van het bedrijf draait. Via de kwetsbaarheid kan een geauthenticeerde aanvaller op afstand code op Cisco-routers installeren. SNMP maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden ook toegang tot het apparaat te krijgen.

Net voor het uitkomen van de gezamenlijke advisory van de Amerikaanse en Britse autoriteiten kwam Cisco zelf met een update van het beveiligingsbulletin uit 2017, waarin het laat weten dat in totaal acht SNMP-gerelateerde kwetsbaarheden zijn misbruikt bij aanvallen. De FBI, NSA, CISA en NCSC stellen dat de aanvallen tegen kwetsbare Cisco-routers nog steeds mogelijk zijn. Organisaties worden dan ook opgeroepen om updates te installeren en verdere mitigerende maatregelen te nemen.

Reacties (2)
19-04-2023, 11:02 door Anoniem
Meer dan 3 jaar de tijd gehad om die updates te installeren.
Hoe veel SOC, SIEM en meer je ook hebt, als je de basis niet onder de knie hebt, is het dweilen met de kraan open...

Maar ik heb niks te klagen, aangezien mijn persoonlijke IT veiligheid net zo'n ramp is.
Hergebruikte wachtwoorden, ongeorganiseerde backups, oude telefoon, etc...
Tijd voor een lenteschoonmaak!
19-04-2023, 12:30 door Anoniem
De CVSS score van CVE-2017-6742 was 8.8. Die kan je toch best een paar jaartjes negeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.