Cisco: jarenoude kwetsbaarheden op grote schaal gebruikt bij aanvallen
Jarenoude kwetsbaarheden in Microsoft Office, Oracle Java en Apple Safari, soms meer dan tien jaar oud, zijn dit jaar op grote schaal gebruikt bij aanvallen, zo claimt Cisco in een jaaroverzicht over 2023 (pdf). Eerder dit jaar kwam het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) met een zelfde bevinding.
In de Top 10 van meest aangevallen beveiligingslekken staat bovenaan een uit 2017 stammende kwetsbaarheid in Microsoft Office. Een beveiligingslek in Apple Safari dat in het overzicht terugkomt dateert zelfs van 2010. "Dit onderstreept de noodzaak voor organisaties om geregeld software-updates te installeren, aangezien veel van de systemen gezien de leeftijd van de kwetsbaarheden waarschijnlijk ongepatcht waren", aldus Cisco.
Acht van de tien kwetsbaarheden zijn als kritiek aangemerkt. "Het grote aantal gevallen waarbij wordt geprobeerd om misbruik van deze beveiligingslekken te maken, gecombineerd met hun ernst onderstreept het risico van ongepatchte systemen", zo laat het bedrijf verder weten. Van de gevallen waarbij Cisco kon achterhalen hoe aanvallers toegang tot een getroffen organisatie hadden gekregen was misbruik van kwetsbaarheden de meestvoorkomende methode.
Blijkbaar omdat niet de eerste tien halen in een lijst van meest misbruikt , DUH .
In aantallen exploitable devices is dat - kijkend naar de vendors/applicaties die wel bij de top tien staan - ook niet snel te verwachten dat de relatief minimale aantallen van cisco devices/cisco servers enige kans maken daar tussen te komen .
Ik denk dat zelfs als 100% van , zeg, de installed base van Cisco Nexus switches exploited was ze nog de top tien niet haalden.
Was beter geweest als security fixes gewoon overal gratis geleverd moeten worden. Prima dat je betalen moet voor uitbreiding van functionaliteit of verbeteringen.
Iedereen wil voor niets op Google chrome bijvoorbeeld.
Doch dan betaal je met iets anders - namelijk je privacy en anonimiteit en al je data.
En dan nog blijft een gedeelte van de boel pn*wed,
want sommigen moeten controle houden via total surveillance.
(alle zogenaamde zoveel-eyes-instanties e.d.)
Denk maar zo, dat er voorlopig geen einde komt aan (cyber-)criminaliteit.
Nog heel , heel. heel lang niet.
#webproxy
Was beter geweest als security fixes gewoon overal gratis geleverd moeten worden. Prima dat je betalen moet voor uitbreiding van functionaliteit of verbeteringen.
Wat betreft Cisco :
As a special customer service, and to improve the overall security of the internet, Cisco may offer customers free software updates to address high-severity security problems. The decision to provide free software updates is made on a case-by-case basis. Refer to the Cisco security publication for details. Free software updates will typically be limited to Critical- and High-severity vulnerabilities.
Ze hebben dat inderdaad in het verleden gedaan , voor remote exploitable (IOS router) bugs onder andere.
natuurlijk krijg je alleen exact de software versie die je had + fix , geen 'free upgrade to latest and greatest' .
Op mijn top 10 van meest voorkomende exploits die geprobeerd worden op mijn peri's staan er een hoop cisco's...
CVE 2023-20186, 20109, 20081, 2022-20697, CVE-2017-3881, CVE-2016-6415, CVE-2002-1359, CVE-2003-0567 en CVE-2002-1357
Voor de meeste zijn er actieve exploits beschikbaar, levert Cisco geen support meer, ook niet voor degene die nog in support zouden moeten zijn (5+5 jaar).
Op dit moment is het simpel, heb je een Cisco, dan is de levensduur ongeveer 3 jaar na uitbrengen eerste apparaat. En dat is wanneer je elke keer de meest recente beta-tester wilt worden met garantie-tot-aan-de-deur firmware.
De hardware wordt procentueel goedkoper dan vroegah, maar de licenties zijn nu eigenlijk een soort BPM... Koop je een goed aangeklede router, is de software meer dan de helft van de prijs.
Bovendien hebben we het hier over infrastructuur, routers, switches, omhooggevallen-proxy (firewalls heeft Cisco gewoon niet meer sinds uitfasering PIX. Dat is niet elke kwartaal te updaten zoals Microsoft Office. Dat moet goed zijn, goed blijven en niet elke dinsdag een nieuwe firmware hebben.
Een beetje als Opel zou zeggen dat hun auto's vrij goed zijn omdat Saabjes van << 2010 veel meer onderhoud nodig hebben en meer uitvallen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
