image

Onderzoek: 39.000 Cisco-routers met publieke SNMP-services online

zaterdag 29 april 2023, 08:03 door Redactie, 2 reacties

Op internet zijn meer dan 39.000 Cisco-routers te vinden die publieke SNMP-services draaien en daardoor risico op aanvallen lopen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Het Simple Network Management Protocol (SNMP) maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden toegang tot het apparaat te krijgen.

Eerder deze maand kwamen het Britse National Cyber Security Centre (NCSC), de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en de FBI met een gezamenlijke advisory waarin ze stelden dat een Russische spionagegroep aangeduid als APT28 in 2021 misbruik had gemaakt van SNMP-kwetsbaarheiden om Cisco-routers te compromitteren.

De diensten adviseerden organisaties om SNMP niet te gebruiken, tenzij dit noodzakelijk is voor het configureren of beheren van apparaten. In het geval SNMP nodig is werd aangeraden om allow- en deny-lijsten te gebruiken, om zo ongeautoriseerde toegang tot routers te voorkomen. Censys deed een online scan en vond meer dan 39.000 Cisco waarvan de SNMP-services vanaf internet toegankelijk zijn.

"Het identificeren van deze blootgestelde apparaten was eenvoudig voor ons, net zoals het voor een aanvaller zou zijn", aldus Censys. De meeste van de gevonden Cisco-routers bevinden zich in de Verenigde Staten en Rusland. Beheerders van Cisco-routers worden aangeraden hun apparatuur te updaten en SNMP te beveiligen.

Reacties (2)
29-04-2023, 09:07 door Anoniem
Met SNMP open op internet loop je nog grotere risico's door het beschikbaar stellen van een UDP amplification tbv DDoS attacks.
Vele jaren geleden wel eens gehad dat door een foutje de SNMP van een switch open stond en meteen werd dat geexploiteerd.
01-05-2023, 09:20 door Anoniem
hoeveel honeypots zitten hier tussen?
tegenwoordig heeft iedere security specialist een of meerdere honeypots draaien die op van alles en nog wat reageren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.