image

Cisco: netwerken steeds vaker geïnfiltreerd via accounts van leveranciers

woensdag 7 juni 2023, 10:03 door Redactie, 6 reacties

Aanvallers maken steeds vaker gebruik van accounts van leveranciers en 'contractors' om netwerken bij organisaties binnen te dringen of verder te compromitteren, zo stelt Cisco op basis van eigen gegevens. Volgens het netwerkbedrijf krijgen supplychain-aanvallen veel aandacht, maar wordt misbruik van accounts van derde partijen vaak over het hoofd gezien.

Het account van een leverancier is voor aanvallers veel handiger dan andere accounts met vergelijkbare rechten, stelt onderzoeker Nick Biasini. Leveranciers kunnen onregelmatig en op ongewone tijden op de omgeving inloggen, waardoor het lastig is voor securityteams om een baseline voor dergelijke accounts op te stellen. Ook kan het lastig zijn om afwijkende locaties te detecteren wanneer organisaties met freelance consultants werken die vanuit andere gebieden of landen inloggen.

Biasini merkt op dat de aanvallers de initiële toegang tot een netwerk vaak via een low-privilege account weten te verkrijgen, maar dan snel het account van een leverancier proberen te gebruiken om verdere toegang te krijgen. Cisco adviseert om accounts van leveranciers die niet in gebruik zijn uit te schakelen, deze accounts zo min mogelijk rechten te geven, leveranciers onderdeel te maken van 'remote access health checks' en de toegang van leveranciers via een 'jump box' of aparte applicatie te regelen.

Reacties (6)
07-06-2023, 10:55 door _R0N_
07-06-2023, 14:07 door Anoniem
Dat stuk over die backdoor is van June 10, 2018 dus niet erg relevant in deze.

Zeer positief dat Cisco dit probleem met accounts van externe leveranciers onder de aandacht brengt omdat dit bij menig bedrijf tot problemen leidt waaronder ransomware.
08-06-2023, 08:45 door Anoniem
Hoe denken de autoriteiten dit op termijn op te gaan lossen?
Of is er geen oplossing voor?
08-06-2023, 10:06 door Anoniem
Ik zou bijvoorbeeld Cisco niet willen gebruiken als perimeter beveilging... Bewezen onbetrouwbaar. Cisco PIX ging nog wel, maar de ASA serie was de ene drama na de andere, zo erg dan ze zelfs een hele lijn hebben laten vallen met alle klanten die zo'n ding gekocht hadden, sommige devices nog geen 4 maanden oud...
Heeft Fortinet en Juniper wel een erge boost gegeven...
Al die klanten die konden zijn gestaag overgestapt, voor een lagere prijs en hogere performance... Het enige probleem wat er was is als ze cisco-beheerders hadden ipv netwerkbeheerders.
De mensen die alleen enable, conf t, copy ru sta kunnen inkloppen en een rolberoerte krijgen als ze ineens config firewall policy, edit 555, set name "test" of "set security zones security-zone untrust interfaces ge-0/0/0.0" moeten inkloppen...
en met de trage asics (zeker in vergelijk met fortinet) zullen ze vast wel weer domme dingen bij cisco gedaan hebben om nog een beetje performance te krijgen. want niet iedereen gaat 40.000 euro uitgeven aan een 'security' routertje met de performance van 1800 euro fortigate.
08-06-2023, 11:36 door Anoniem
Door Anoniem: Hoe denken de autoriteiten dit op termijn op te gaan lossen?
Of is er geen oplossing voor?
Dit moet je niet aan de autoriteiten over laten maar zelf oppakken en veranderen. Er zijn genoeg alternatieven voor al die dure merken die zeker niet beter werken dan producten gebaseerd op open-source oplossingen. Dus alles op basis van open-source producten en zorgen dat je kennis daarvoor op peil is en op peil blijft. Er zal een wereld voor je opengaan.
08-06-2023, 15:53 door Anoniem
Door Anoniem: Ik zou bijvoorbeeld Cisco niet willen gebruiken als perimeter beveilging... Bewezen onbetrouwbaar. Cisco PIX ging nog wel, maar de ASA serie was de ene drama na de andere, zo erg dan ze zelfs een hele lijn hebben laten vallen met alle klanten die zo'n ding gekocht hadden, sommige devices nog geen 4 maanden oud...
Heeft Fortinet en Juniper wel een erge boost gegeven...
Al die klanten die konden zijn gestaag overgestapt, voor een lagere prijs en hogere performance... Het enige probleem wat er was is als ze cisco-beheerders hadden ipv netwerkbeheerders.
De mensen die alleen enable, conf t, copy ru sta kunnen inkloppen en een rolberoerte krijgen als ze ineens config firewall policy, edit 555, set name "test" of "set security zones security-zone untrust interfaces ge-0/0/0.0" moeten inkloppen...
en met de trage asics (zeker in vergelijk met fortinet) zullen ze vast wel weer domme dingen bij cisco gedaan hebben om nog een beetje performance te krijgen. want niet iedereen gaat 40.000 euro uitgeven aan een 'security' routertje met de performance van 1800 euro fortigate.

Dat geld ook voor de Cisco endpoint protection. dat wil je ook niet gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.