image

Cisco: zwakke en gestolen adminwachtwoorden gebruikt bij router-aanvallen

woensdag 27 september 2023, 16:32 door Redactie, 5 reacties

De aanvallen waarbij de firmware van Cisco-routers door een malafide versie wordt vervangen zijn mogelijk vanwege zwakke en gestolen adminwachtwoorden, zo stelt Cisco in een reactie. Daarnaast zou de aanval alleen tegen oude apparatuur werken. De Amerikaanse geheime dienst NSA, de FBI, het Cybersecurity and Infrastructure Security Agency en de Japanse politie kwamen vandaag met een waarschuwing voor de aanvallen, die het werk zijn van een groep genaamd BlackTech.

Zodra de aanvallers toegang tot een router hebben wordt malafide firmware geüpload, waarmee de aanvallers hun activiteiten verbergen en toegang behouden. Doelwitten zouden zich vooral in de Verenigde Staten en Japan bevinden. "De voornaamste toegangsvector bij deze aanvallen bestaat uit gestolen of zwakke adminwachtwoorden. Zoals beschreven in de waarschuwing, vereisen bepaalde configuratie-aanpassingen, zoals het uitschakelen van logging en downloaden van firmware, adminwachtwoorden."

Cisco merkt op dat er geen aanwijzingen zijn dat de aanvallers misbruik van kwetsbaarheden maken. "De aanvallers gebruiken gecompromitteerde inloggegevens om configuratie- en software-aanpassingen op beheerdersniveau uit te voeren", laat de netwerkgigant verder weten. Die stelt daarnaast dat het downgrade naar oudere firmware zoals de aanvallers doen alleen mogelijk is bij legacy apparaten.

Reacties (5)
27-09-2023, 20:46 door Anoniem
Is het niet handiger om de beheer interface niet open te zetten vanaf internet?
27-09-2023, 22:41 door Anoniem
tuurlijk, tis niet cisco's schuld, wassen, handen, onschuld
28-09-2023, 03:31 door Anoniem
Door Anoniem: Is het niet handiger om de beheer interface niet open te zetten vanaf internet?
Dat is niet alleen handiger, maar ook het enige juiste.
28-09-2023, 13:48 door Anoniem
Door Anoniem: tuurlijk, tis niet cisco's schuld, wassen, handen, onschuld
Erg kort door de bocht als je als beheerder credentials gebruikt zoals admin/admin of uberhaupt de console open zet richting het internet.
28-09-2023, 16:02 door Anoniem
Door Anoniem: Is het niet handiger om de beheer interface niet open te zetten vanaf internet?
In combinatie met trusted host kan je dit openzetten en beperken tot je eigen beheer Machine.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.