Tienduizenden Cisco-apparaten kwetsbaar voor NSA-aanval

[Captain Kirk]

Ondanks het verschijnen van een beveiligingsupdate van Cisco zijn nog altijd tienduizenden apparaten van de netwerkgigant kwetsbaar voor een onlangs ontdekte aanval van de NSA. Het gaat om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait. Dergelijke apparatuur wordt vooral door bedrijven, overheidsinstellingen en organisaties gebruikt.

Een persoon of groep die zichzelf Shadow Brokers noemt publiceerde halverwege augustus een verzameling van tools, exploits en malware van een spionagegroep genaamd de Equation Group. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om malware en tools van de Amerikaanse inlichtingendienst NSA gaat.

Eén van de exploits, genaamd EXTRABACON, richt zich op de Cisco ASA-software en maakt gebruik van een kwetsbaarheid waarvoor op het moment van de ontdekking nog geen patch bestond. Via de exploit, die op afstand is uit te voeren, kan een aanvaller door het versturen van een SNMP-pakket volledige controle over het systeem krijgen. Op 24 augustus kwam Cisco met beveiligingsupdates om het probleem te verhelpen.

Kwetsbaar

Om de kwetsbaarheid aan te vallen moeten ASA-apparaten SNMP hebben ingeschakeld en moet de aanvaller de mogelijkheid hebben om het apparaat via UDP SNMP te bereiken. Ook moet de aanvaller telnet- of ssh-toegang tot het apparaat hebben. Hierdoor is de grootste kans om de aanval uit te voeren vanaf het bedrijfsnetwerk. Bijvoorbeeld van een netwerkgedeelte dat SNMP- en telnet/ssh-toegang tot een kwetsbaar apparaat heeft, zo stelt beveiligingsbedrijf Rapid7.

Toch zijn er op internet ook Cisco ASA-apparaten te vinden. Rapid7 besloot dan ook een scan op internet uit te voeren en ontdekte meer dan 50.000 Cisco ASA ssl-vpn-apparaten, waarvan 1310 in Nederland. Vervolgens wilden de onderzoekers kijken hoeveel van deze apparaten niet gepatcht waren. Iets dat kon worden vastgesteld op basis van de uptime. Een apparaat dat sinds het uitkomen van de beveiligingsupdate niet is gereset, is technisch kwetsbaar. Van zo'n 12.000 toestellen bleek het niet mogelijk om de timestamp te achterhalen.

Van de ruim 38.000 waarbij dit wel lukte bleek dat slechts 10.000 er sinds het uitkomen van de update opnieuw waren gestart. Dit houdt in dat er ruim 28.000 apparaten technisch kwetsbaar zijn. Daarbij moet worden opgemerkt dat het hier om ASA-apparaten gaat die via internet konden worden gevonden. Het aantal ASA-apparaten dat niet zichtbaar is, is mogelijk nog veel groter, wat mogelijk ook voor het aantal ongepatchte apparaten geldt.

 

 

bron: security.nl