image

Overheid VS heeft nog honderden interfaces van routers en firewalls online

woensdag 28 juni 2023, 10:58 door Redactie, 6 reacties

Federale Amerikaanse overheidsinstanties werden twee weken geleden verplicht om interfaces van routers, switches, firewalls, vpn's, loadbalancers en proxies die vanaf internet benaderbaar zijn offline te halen, maar nog altijd zijn honderden webinterfaces online, aldus securitybedrijf Censys. Het bevel dat eerder deze maand werd gegeven is afkomstig van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat stelt dat aanvallers steeds vaker via verkeerd geconfigureerde netwerkapparaten organisaties weten te compromitteren.

De afgelopen maanden zijn in netwerkapparatuur allerlei kwetsbaarheden gevonden die bijvoorbeeld via de beheerinterface zijn te misbruiken. Ook komt het voor dat de apparaten verkeerd zijn geconfigureerd of op andere wijze slecht zijn beveiligd. "Het risico wordt verder vergroot als beheerinterfaces direct vanaf het publieke internet benaderbaar zijn. De meeste beheerinterfaces zijn ontwikkeld om vanaf aparte fysieke interfaces of managementnetwerken te worden benaderd en zouden niet vanaf het publieke internet benaderbaar moeten zijn", aldus het CISA.

Het CISA heeft de mogelijkheid om federale overheidsinstanties via een "Binding Operational Directive" tot het uitvoeren van bepaalde acties te verplichten. De nieuwste Binding Operational Directive, met het nummer "23-02", heeft als doel om de risico's van "internet exposed management interfaces" weg te nemen. Het gaat dan om beheerinterfaces voor routers, switches, firewalls, vpn-servers, proxies, load balancers en out of band server management interfaces, zoals iLo en iDRAC.

Als voorbeeld noemt het CISA interfaces die via http, https, ftp, snmp, telnet, tftp, rdp, rlogin, rsh, ssh, smb en vnc toegankelijk zijn. In het geval het CISA of ander agentschap een overheidsinstantie over dergelijke interfaces inlicht, krijgen die veertien dagen de tijd om de interface offline te halen, zodat die alleen via een intern enterprise netwerk toegankelijk is, waarbij het CISA aanraadt een apart beheernetwerk te gebruiken.

Inmiddels zijn de twee weken verstreken, maar blijken honderden interfaces nog altijd vanaf internet benaderbaar te zijn. Zo werden vijftien systemen door Censys gevonden die via FTP, SMB, NetBIOS en SNMP benaderbaar zijn. Bijna 250 systemen draaiden remote access protocollen zoals SSH en Telnet. Het gaat onder andere om routers, firewalls en vpn-servers. Verder werden 150 federale overheidssystemen aangetroffen waarop end-of-life software draait, waaronder Microsoft IIS, OpenSSL en Exim. Het CISA heeft aangegeven dat het ook zelf op interfaces gaat scannen, om vervolgens de instantie in kwestie te informeren dat er maatregelen genomen moeten worden.

Image

Reacties (6)
28-06-2023, 11:27 door Anoniem
Ik heb net de huur overgemaakt. Wat dan volgens EU afspraak op een cassettebandje aan de Amerikaanse overheid wordt doorgegeven. Die dus zelf met lekke systemen werkt.

Je kunt daar als burger niks aan doen. Want als je data eenmaal in Amerika is dan heb je daar niks meer te vertellen.

Nou is er toevallig vet oorlog in het oosten hier. Een barbaar die roept dat we allemaal voor de Amerikanen werken. Zolang de EU mijn privegegevens pikt en gewoon via cassettebandjes uitlevert, hoe gek die oorlogsvoerder ook is, heeft hij wel een punt. Als de huisbaas volgende maand tijd heeft, dan doe ik het liever een keertje cash. Want het blijft toch voelen als een verborgen camera in je badkamer. Met die Amerikanen.
28-06-2023, 12:06 door Anoniem
Mag er nog wel gebruik gemaakt worden van SSLvpn interfaces? lijkt me verdomd lastig als je thuis werkt...
28-06-2023, 12:31 door Anoniem
Door Anoniem: Mag er nog wel gebruik gemaakt worden van SSLvpn interfaces? lijkt me verdomd lastig als je thuis werkt...
Begrijp je het artikel wel? Het gaat hier om de interfaces om de zaak te beheren.
28-06-2023, 13:40 door Anoniem
Door Anoniem:
Door Anoniem: Mag er nog wel gebruik gemaakt worden van SSLvpn interfaces? lijkt me verdomd lastig als je thuis werkt...
Begrijp je het artikel wel? Het gaat hier om de interfaces om de zaak te beheren.

Beetje gekke reactie, het kan zo zijn dat ik het inderdaad niet goed heb begrepen. Ik lees dat het gaat om:

Federale Amerikaanse overheidsinstanties werden twee weken geleden verplicht om interfaces van routers, switches, firewalls, vpn's, loadbalancers en proxies die vanaf internet benaderbaar zijn offline te halen.

en verder op wordt er over een voorbeeld gesproken:

De afgelopen maanden zijn in netwerkapparatuur allerlei kwetsbaarheden gevonden die bijvoorbeeld via de beheerinterface zijn te misbruiken

DUS, Misschien lees ik het artikel wel verkeerd of begrijp ik het niet goed maar had er dan graag uitleg over gekregen :)
28-06-2023, 18:45 door Anoniem
Voorspelt dit niet een komende grote valse vlag?

Hoe ver moet de infrastructuur onderuit gehaald worden om zoiets mogelijk te maken?

Onze Zwitserse "Blofeld" van 'ZeGreetRiesett' heeft toch al gewaarschuwd voor zoiets dergelijks.

The honourable Ian Fleming kon het weten, hij kwam uit het veld.
30-06-2023, 11:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Mag er nog wel gebruik gemaakt worden van SSLvpn interfaces? lijkt me verdomd lastig als je thuis werkt...
Begrijp je het artikel wel? Het gaat hier om de interfaces om de zaak te beheren.

Beetje gekke reactie, het kan zo zijn dat ik het inderdaad niet goed heb begrepen. Ik lees dat het gaat om:

Federale Amerikaanse overheidsinstanties werden twee weken geleden verplicht om interfaces van routers, switches, firewalls, vpn's, loadbalancers en proxies die vanaf internet benaderbaar zijn offline te halen.

en verder op wordt er over een voorbeeld gesproken:

De afgelopen maanden zijn in netwerkapparatuur allerlei kwetsbaarheden gevonden die bijvoorbeeld via de beheerinterface zijn te misbruiken

DUS, Misschien lees ik het artikel wel verkeerd of begrijp ik het niet goed maar had er dan graag uitleg over gekregen :)
Het gaat hier om de beheer interfaces (logon direct to the consoles, CLI's or GUI's van de devices, niet om de open poorten voor severs die erachter liggen of eventueel functionaliteit van de netwerk devices zoals bijvoorbeeld VPN's (SSLVPN, IPSEC VPN)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.