CFCS: Statsstøttet aktør har forsøgt at kompromittere Cisco-udstyr hos udvalgte myndigheder

En statsstøttet aktør er gået efter netværksudstyr fra Cisco hos udvalgte danske myndigheder, vurderer Center for Cybersikkerhed.

En statsstøttet aktør har forsøgt at kompromittere netværksudstyr hos udvalgte danske myndigheder.

Sådan lyder vurderingen fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Det fremgår dels af en pressemeddelelse og dels af en uddybende såkaldt undersøgelsesrapport fra CFCS.(PDF)

»CFCS har konstateret, at en trusselsaktør i 2017 har forsøgt at indhente oplysninger fra internetvendt Cisco-netværksudstyr hos flere danske myndigheder. Flere af myndighederne har ansvarsområder, der kan have interesse for fremmede stater,« hedder det i undersøgelsesrapporten.

CFCS vurderer, at hændelserne er del af en global kampagne rettet mod netværksudstyr, men det fremgår ikke i rapporten, hvornår CFCS er nået til denne erkendelse.

Hvad tidsangivelser angår, så oplyses det i rapporten, at CFCS 18. april 2018 udsendte et offentligt varsel i forbindelse med hændelserne.

Og det fremgår også, at CFCS efterfølgende har »arbejdet videre og håndteret sagerne i samarbejde med relevante myndigheder.«

CFCS bringer ovenstående illustration i undersøgelsesrapporten 'Forsøg på kompromittering af netværksudstyr', der skal vise, hvordan sårbare internetvendte netværksenheder kan udnyttes til bl.a. at udføre spionage. Illustration: CFCS

I maj 2019 har CFCS ifølge rapporten ved hjælp af ikke nærmere definerede »open source-værktøjer« fundet knap 400 netværksenheder i Danmark med den pågældende type sårbarhed. Og i juni 2019 har CFCS varslet »de leverandører af internetforbindelser (ISP’er), som administrerer IP-adresser, hvor der er set sårbare netværksenheder.«

Cisco-enheder

Konkret er der tale om, at en aktør - CFCS kommer ikke specifikt ind på, hvem det er - har haft kig på at udnytte en kendt sårbarhed i Cisco-enheder.

Det fremgår ikke direkte, hvilken type kendt sårbarhed der er tale om. Dog bliver der i CFCS-rapporten henvist til en advisory fra Cisco, der er en opsamling på sårbarheder i Smart Install-funktionen (SMI) i Cisco-udstyr.

I april 2018 bragte Version2 desuden en artikel om flere alvorlige sårbarheder relateret til netop SMI. Her blev sårbarheden benævnt CVE-2018-0171 relateret til Smart Install-tjenesten nævnt som den værste.

CFCS oplyser, at de myndigheder, aktøren er gået efter, alle har haft port 4786 i udstyret eksponeret mod internettet. Desuden fremgår det, at porten håndterer SMI, som bruges til opsætning og konfigurering af netværksudstyr fra internettet eller fra et internt netværk.

»Aktøren har udnyttet en kendt sårbarhed i myndighedernes Cisco-netværksudstyr til at indhente data fra enhederne. Dataene indeholder login-oplysninger til enheden i krypteret form - en såkaldt hash - samt information om enhederne og organisationernes netværksopsætning, som kan være relevant viden for fjendtlige aktører,« hedder det i rapporten.

Det står i rapporten ikke sole klart, hvorvidt der faktisk er danske myndigheder, der er blevet kompromitteret af det, der formodes at være en statsstøttet aktør, eller om der kun har været tale om forsøg på kompromittering. Log-kvaliteten lader til at spille en rolle i forhold til muligheden for at vurdere, hvor galt det er gået.

»Der er tegn på, at aktøren i enkelte tilfælde har kunnet udtrække hashes fra netværksenhederne. I de hændelser er der dog ikke tegn på, at aktøren efterfølgende har benyttet login-oplysningerne til at få adgang til netværkene. Kvaliteten af tilgængelige logs, der kan medvirke til at afdække hændelserne, er dog begrænset,« lyder det i rapporten.

Forsøg på kompromittering

Konsekvent taler rapporten dog om 'forsøg på kompromittering' og ikke faktisk kompromittering. Men som bekendt er fraværet af bevis ikke bevis på fravær, hvilket henvisningen til log-kvaliteten også minder om.

»CFCS vurderer, at der i de omtalte hændelser rettet mod danske myndigheder er tale om forsøg på cyberspionage udført af en statsstøttet hackergruppe. Hackergruppen kan have forsøgt at kompromittere enhederne hos danske myndigheder for at understøtte deres cyberspionage på flere forskellige måder,« hedder det videre i rapporten, som fortsætter:

»Dels kan hackerne have haft til hensigt at kompromittere udstyret hos udvalgte myndigheder for at overvåge eller ændre i trafik, der går ind og ud af myndighedens netværk. Dels kan hackerne have haft en hensigt om at bruge det kompromitterede udstyr til at komme dybere ind i myndighedens netværk for at stjæle følsomme informationer.«

Anbefalinger

I forbindelse med rapporten anbefaler CFCS flere tiltag for at imødegå et angreb.

»CFCS anbefaler i forhold til den beskrevne trussel at sikre, at Cisco Smart Install (SMI) er deaktiveret på internetvendt Cisco-udstyr, medmindre udstyret administreres af organisationens leverandør af internetforbindelser (ISP’en),« hedder det.

Derudover nævner rapporten en flere konkrete tiltag, der kan overvejes. Blandt andet foreslås en sårbarheds-scanning af perimeter-udstyr, samt en opfordring om at sikre, at al intervendt udstyr er opdateret med seneste firmware.

Læs flere konkrete anbefaler i rapporten, der kan findes her (PDF).

Version2 har spurgt CFCS, om organisationen har kendskab til, om der er danske myndigheder, der er blevet kompromitteret via angrebet. Vi har desuden spurgt til, hvornår CFCS opdagede angrebet mod myndighederne. Vi påtænker at vende tilbage, såfremt der er nævneværdigt nyt at fortælle desangående.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

Hvilket behov er størst?
1) Skal CfCS lade være med at fortælle noget for ikke at røbe over for fjenden, hvad de ved.
2) kun fortælle dem de mener der er i skydeskiven for angrebet, og vægte myndighedens sikkerhed lige så højt som risikoen for at røbe hvad de ved til fjenden.
3) fortælle alle det, så alle ved at der er en sårbarhed der udnyttes, men også fortælle fjenden hvad man ved.

Hvad ville du gøre?

  • 4
  • 0
Hans Nielsen

Uden bagdøre eller andet sikkerheds svigt, som forsøg på at kompromiteret sikkerheds protocoler og kryptering.

Det kan godt være at man måske kan finde en enkelt eller to slyngler, ved at have hul i egen software og sikkerheds protocoler. Men selv om NAS fandt verdens største børneporno ring, så ville de lade den forsætte, hvis et stop for den, betyd at man skulle afgive et sikkerhedshul.

Det er jo smatidigt kun venner som ma aflytter. samtidigt med at man bringer alle bruger, og en selv i farer.

Dem de meget gerne vil aflytte bruger nok ikke software eller hardware fra USA.

Vi skylder os selv, at smide alt soft og hardware fra USA i skraldespanden. Og lave noget selv.

Et valg af Erikson til 5G er en god start, selv om det nok ikke betyder. At der ikke kommer udstyr fra Kina eller USA ind.

Men dog mere betryggende at firma har hovedet sæde inden for EU.

  • 1
  • 1
Log ind eller Opret konto for at kommentere