'Duizenden Cisco IOS XE-systemen inmiddels besmet met malware'
Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde. CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen.
Het besturingssysteem draait op switches en routers van het bedrijf. Het beveiligingslek zit in de webinterface van IOS XE. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt.
"Dit is een slechte situatie, aangezien verhoogde toegang op IOS XE de aanvallers waarschijnlijk toestaat om netwerkverkeer te monitoren, of naar beschermde netwerken te springen, en allerlei man-in-the-middle-aanvallen uit te voeren", zegt Jacob Baines van VulnCheck
Het securitybedrijf heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt.
Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen. De Amerikaanse overheid heeft federale instanties in het land verplicht om deze maatregel uiterlijk 20 oktober te hebben doorgevoerd.
Dit dus. Die hele interface zou niet internet facing mogen zijn. Daarnaast, een beetje beheerder kan de configs gewoon via de console inkloppen, geen webpagina voor nodig. Dus die http en http secure server gewoon niet inschakelen.
Nou dat is weer de melding van de dag. De Chinese overheid patch het wel voor je. Dat is ook een eenvoudige manier.
Waarom heb je HTTP aan staan op zo`n ding? Waarom hangt zo`n ding aan het internet!
Wat je beschrijft slaat echt he-le-maal nergens op. Je kan prima je routing protocollen, devices access, inter-vlan filtering uitvoeren op je ios-xe devices met behulp van access-lists. Sterker nog, dit moet je gewoon doen in een multi-layer security design. Daarnaast pas je ook gewoon je firewalls toe in een netwerk. En je vdoms, een Forti term, als er 1 firewall keer op keer lek is gebleken dan zijn het die dingen wel
Jaaa Precies dat, of dit soort hardware direct aan het internet hangen. gewoon zinloos.
Jaaa Precies dat, of dit soort hardware direct aan het internet hangen. gewoon zinloos.
newflash : het Internet bestaat uit routers die gezamelijk het internet ZIJN .
Voor best een redelijk deel Cisco apparatuur , en zeker ook met IOS XE als OS.
Heb je een goed redundant aangesloten bedrijf (of edge ISP ) , dan is je laatste eigen device waar de upstreams aangesloten zitten een _router_ . Niet een/de firewall ,want die is niet zo sterk in routing.
Het enige wat wel erg fout is om dan
1) HTTP(s) als management interface uberhaupt actief te hebben.
2) en uberhaupt dat de mangement plane nog bereikbaar is vanaf 'buiten' . (dat kan en moet je uitzetten/filteren) .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
