VS geeft meer details over aanvallen op slecht beheerde Cisco-routers in 2021
In 2021 werden Cisco-routers in onder andere Europa en de Verenigde Staten het doelwit van aanvallen, waarbij de aanvallers malware installeerden om toegang te behouden. Nu blijkt dat de aanvallers misbruik maakten van een kwetsbaarheid waarvoor Cisco al in 2017 beveiligingsupdates had uitgebracht, zo melden de Amerikaanse en Britse autoriteiten in een gezamenlijke advisory.
De FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) claimen dat de aanvallen het werk waren van een Advanced Persistent Threat (APT)-groep genaamd APT28, die ook bekendstaat als Fancy Bear. De groep zou volgens de diensten aan de Russische geheime dienst GRU gelieerd zijn.
Volgens de Amerikaanse en Britse diensten heeft APT28 in 2021 een aantal aanvallen tegen organisaties in Europa, Amerikaanse overheidsinstellingen en Oekraïne uitgevoerd voor verkenningsdoeleinden, waarbij er op sommige Cisco-routers malware werd geïnstalleerd. Bij deze aanvallen werd misbruik gemaakt van CVE-2017-6742, een kwetsbaarheid waarvoor al sinds juni 2017 een patch beschikbaar is.
Het beveiligingslek bevindt zich in het Simple Network Management Protocol (SNMP) subsysteem van Cisco IOS en IOS XE, de software die op routers van het bedrijf draait. Via de kwetsbaarheid kan een geauthenticeerde aanvaller op afstand code op Cisco-routers installeren. SNMP maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden ook toegang tot het apparaat te krijgen.
Net voor het uitkomen van de gezamenlijke advisory van de Amerikaanse en Britse autoriteiten kwam Cisco zelf met een update van het beveiligingsbulletin uit 2017, waarin het laat weten dat in totaal acht SNMP-gerelateerde kwetsbaarheden zijn misbruikt bij aanvallen. De FBI, NSA, CISA en NCSC stellen dat de aanvallen tegen kwetsbare Cisco-routers nog steeds mogelijk zijn. Organisaties worden dan ook opgeroepen om updates te installeren en verdere mitigerende maatregelen te nemen.
Hoe veel SOC, SIEM en meer je ook hebt, als je de basis niet onder de knie hebt, is het dweilen met de kraan open...
Maar ik heb niks te klagen, aangezien mijn persoonlijke IT veiligheid net zo'n ramp is.
Hergebruikte wachtwoorden, ongeorganiseerde backups, oude telefoon, etc...
Tijd voor een lenteschoonmaak!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
