Cisco advarer om kritiske sikkerhedshuller i ny software

Tre kritiske sikkerhedshuller i Ciscos nye software 'Digital Network Architecture' kan give angribere fjernadgang til netværket, advarer virksomheden. De opfordrer alle kunder til at opdatere softwaren hurtigst muligt.

Cisco opfordrer kunder, der benytter deres nye Digital Network Architecture (DNA) Center software til at installere nye udgivelser, som adresserer tre kritiske sårbarheder, der kan give angribere fjernadgang til netværket.

Det skriver ZDNet.

Læs også: Kritisk sårbarhed fundet i millioner af Cisco-switches

De tre sikkerhedshuller har alle en score på 10 ud af 10 i Common Vulnerability Scoring System (CVSS), der er en åben standard til rating af 'alvorligheden' af sårbarheder.

Cisco har i løbet af de seneste måneder udrullet nye udgivelser af DNA-softwaren, som adresserer sårbarhederne, men afslørede i onsdags, at de altså er til stede på tidligere udgivelser.

Læs også: Alvorligt sikkerhedshul i Cisco-firewalls: Giver fjernadgang til netværk

En af fejlene, CVE-2018-0222, skyldes tilstedeværelsen i softwaren af hard coded brugernavn/kodeord til den administrative konto, noterer Thomas Kristmar fra Dansk IT og tidligere chef for Center for Cybersikkerhed (CFCS) på Twitter:

Den første udgivelse af DNA blev gjort tilgængelig i januar 2018, og versioner op til 1.1.3, der blev udgivet i marts, er sårbare over for de tre fejl. Siden marts har Cisco udgivet version 1.1.4 og version 1.1.5.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
Hans Nielsen

CISCO og andre "store" udbyder, har en strategi hvor der typisk skal betales for licenser og software opdateringer løbende efter køb. Hvis man ikke er interesseret i at betale dummebøder til CISCO, for at betale dem for at rette deres egne fejl. Så bliver produktet i de fleste tilfælde værdiløse. Især efter EOL.

Det er så en af grundene til, at jeg vælger billigere løsninger. Hvis man alligevel, skal smide fuldt funktionsdygtigt hardware ud efter få år. OG de dyre løsninger er hullet som en si. Så kan man lige så godt vælge en enkelt og billigere løsning.

Det er lidt omvendt af bilernes verden. Hvis man køber en meget dyr mercedes. Så forventer man, og får lang levetid, og få reparationer. Desuden er originale reservedele billigt, og kulance god.
Meget af CISCO udstyr koster som en lille bil, så den sammenligning kan man godt bruge.

Hans Nielsen

Hvilket problem ser du i at bruge Cisco eller udstyr fra andre store fabrikanter, selv om at udstyret er EOL hvis ikke det er direkte forbundet til dit WAN og bag en FW


Hvis vi snakker firewall og netværksudstyr, så er det jo intet værd, med kendte sikkerhedshuller, som ikke er lukket.
Desuden skal der, som jeg også skriver, købes meget dyre licenser hvis man skal have adgang til fejlrettelserne.

Mener dog at HP er en undtagelse fra denne "forbryderiske" adfærd. - At sælge udstyr med halvfærdigt og fejlfyldt software, og bagefter tage sig meget dyrt betalt, for at rette huller og lave det rigtigt.

Nicklas Seehusen

@Hans Nielsen

Nu nævner du Cisco - faktisk tilbyder Cisco at man kan få software opdateringer til produkter uden en gyldig service kontrakt som lukker "kristiske" sikkerhedshuller ganske gratis.

Læs sektionen Security Software Updates: https://www.cisco.com/c/en/us/about/security-center/security-vulnerabili...

Det er ret nemt at benytte sig af.

  1. Brug Cisco's eget tool til at finde en liste over kendte sikkerhedshuller i den version af IOS du benytter:
    https://tools.cisco.com/security/center/softwarechecker.x
  2. Udvælg et sikkerhedshul af high severity som kan være en potentiel risiko for din forretning.
  3. Skriv en mail til Cisco TAC om at du har produkt X med serienr Y og IOS version A.
  4. Henvis til sikkerhedshullet med link og beskriv kort hvorfor det er et problem for dig.
  5. Skriv den konkrete IOS version du ønsker (nyeste selvfølgelig) for at være sikker imod sikkerhedshullet.
  6. Får du push-back fra TAC så henvis til sektionen "Security Software Updates" på deres Security Vulnerability Policy-side.

Der står godt nok "may offer" og "case-by-case basis", men jeg har ikke hørt om én som ikke har erhvervet sig den nyeste version af IOS med den procedure, såfremt der har været et kritisk sikkerhedshul.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017