Exploit-kode får FE til at advare om alvorlig VPN-sårbarhed i Cisco-udstyr

Center for Cybersikkerhed under Forsvarets Efterretningstjeneste advarer om stor sandsynlighed for, at kriminelle vil udnytte en VPN-sårbarhed i udstyr fra Cisco.

På baggrund af offentliggjort exploit-kode vurderer Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste nu, at der er stor sandsynlighed for, at aktører - eksempelvis kriminelle - vil bruge koden til at udnytte en sårbarhed i netværksudstyr fra Cisco.

CFCS bemærker i den sammenhæng i en netop udgivet trusselsvurdering (PDF), at Cisco netværksprodukter i stort omfang anvendes i danske myndigheder og virksomheders it infrastruktur. Og at imødegåelse af sårbarheden derfor er særdeles relevant.

Nærmere bestemt er der tale om en VPN-sårbarhed i firewalls og routere fra den amerikanske virksomhed. Cisco meldte sårbarheden ud i februar i år, hvor der også blev udgivet softwareopdateringer, der fjerner sårbarheden.

  1. maj i år er der udgivet kode, som kan bruges til at udnytte sårbarheden. Det betyder, at eksempelvis kriminelle grupper kan bruge den offentliggjorte kode til at udføre konkrete cyberangreb, fremgår det af trusselsvurderingen.

Organisationen anbefaler i den forbindelse virksomheder og myndigheder til at tjekke, om deres netværksudstyr er sårbart. Og så få det opdateret, skulle det være tilfældet.

Adaptive Security Appliance

Sårbarheden, der er registeret som CVE-2016-1287, relaterer sig til Ciscos Adaptive Security Appliance (ASA) software, som befinder sig i routere og firewalls. ASA benyttes blandt andet ved VPN-løsninger, og det er muligt at udnytte den via internettet, hvilket gør den særligt alvorlig, fremgår det af trusselsvurderingen fra CFCS.

CFCS har kigget på den offentliggjorte exploit-kode og fundet frem til, at den mulliggør to angrebsscenarier mod berørt Cisco-udstyr. Det ene er et Denial of Service-angreb, hvor routere og firewalls tvinges til at genstarte konstant. Det vil resultere i, at VPN-forbindelser bliver afbrudt, det samme gælder de dataforbindelser, der kontrolleres af det berørte udstyr.

Det andet angrebsscenarie gør det muligt at overtage kontrollen med en Cisco VPN-server med fulde administrative rettigheder. Og det kan ifølge trusselsvurderingen bruges til at få uautoriseret adgang til organisationens netværk. Og sådan en adgang kan bruges til at spionere eller til at implementere ondsindet kode i organisationens netværk.

Begge angrebsscenarier forudsætter, at der anvendes IKEv1 eller IKEv2 VPN-forbindelser.

De eneste måder til at imødegå sårbarheden på er enten ved at implementere de relevante sikkerhedsopdateringer fra Cisco - det kræver en gyldig licens til det berørte produkt at downloade dem fra Ciscos hjemmeside - eller at deaktivere IKE-baserede VPN-forbindelser.

Trusselsvurderingen fra CFCS indeholder desuden en liste over udstyr, der kan være berørt. Trusselsvurderingen kan læses i sin helhed her (PDF).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bent Jensen

De fejl var jo sikkert bestil, købt og betalt af NSA :-(

Når man begynder med at ville have bagdøre, så implementere man en masse andre fejl. Bare kravet om at der skal være en, betyder at sikkerhed falder. Hvorfor bruge energi på at sikker noget, som alligevel er gennenmhullet.

Men at Cisco ikke vil rette fejen uden en Licens det forstår jeg ikke ? Det vil betyde et fravalg fra min side, når udstyr en gang skulle udskiftes.Når sikkerheds huller og fejl i udstyret, ikke kan lukkes uden yderligere udgifter.

  • 0
  • 2
#2 Poul Pedersen

Men at Cisco ikke vil rette fejen uden en Licens det forstår jeg ikke ?

Tillader de ikke at man lægger den patchede software ind som passer til det releaseniveau man er på? Det er klart man ikke på skifte release uden at have smartnet på sin enhed, men de har så vidt jeg kan se patchet software ret langt tilbage. At man så ikke bare lige kan hente softwaren, selvom man er berettiget til den, kan vi så nemt blive enige om at der er helt til grin.

  • 0
  • 0
Log ind eller Opret konto for at kommentere