På baggrund af offentliggjort exploit-kode vurderer Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste nu, at der er stor sandsynlighed for, at aktører - eksempelvis kriminelle - vil bruge koden til at udnytte en sårbarhed i netværksudstyr fra Cisco.
CFCS bemærker i den sammenhæng i en netop udgivet trusselsvurdering (PDF), at Cisco netværksprodukter i stort omfang anvendes i danske myndigheder og virksomheders it infrastruktur. Og at imødegåelse af sårbarheden derfor er særdeles relevant.
Nærmere bestemt er der tale om en VPN-sårbarhed i firewalls og routere fra den amerikanske virksomhed. Cisco meldte sårbarheden ud i februar i år, hvor der også blev udgivet softwareopdateringer, der fjerner sårbarheden.
- maj i år er der udgivet kode, som kan bruges til at udnytte sårbarheden. Det betyder, at eksempelvis kriminelle grupper kan bruge den offentliggjorte kode til at udføre konkrete cyberangreb, fremgår det af trusselsvurderingen.
Organisationen anbefaler i den forbindelse virksomheder og myndigheder til at tjekke, om deres netværksudstyr er sårbart. Og så få det opdateret, skulle det være tilfældet.
Adaptive Security Appliance
Sårbarheden, der er registeret som CVE-2016-1287, relaterer sig til Ciscos Adaptive Security Appliance (ASA) software, som befinder sig i routere og firewalls. ASA benyttes blandt andet ved VPN-løsninger, og det er muligt at udnytte den via internettet, hvilket gør den særligt alvorlig, fremgår det af trusselsvurderingen fra CFCS.
CFCS har kigget på den offentliggjorte exploit-kode og fundet frem til, at den mulliggør to angrebsscenarier mod berørt Cisco-udstyr. Det ene er et Denial of Service-angreb, hvor routere og firewalls tvinges til at genstarte konstant. Det vil resultere i, at VPN-forbindelser bliver afbrudt, det samme gælder de dataforbindelser, der kontrolleres af det berørte udstyr.
Det andet angrebsscenarie gør det muligt at overtage kontrollen med en Cisco VPN-server med fulde administrative rettigheder. Og det kan ifølge trusselsvurderingen bruges til at få uautoriseret adgang til organisationens netværk. Og sådan en adgang kan bruges til at spionere eller til at implementere ondsindet kode i organisationens netværk.
Begge angrebsscenarier forudsætter, at der anvendes IKEv1 eller IKEv2 VPN-forbindelser.
De eneste måder til at imødegå sårbarheden på er enten ved at implementere de relevante sikkerhedsopdateringer fra Cisco - det kræver en gyldig licens til det berørte produkt at downloade dem fra Ciscos hjemmeside - eller at deaktivere IKE-baserede VPN-forbindelser.
Trusselsvurderingen fra CFCS indeholder desuden en liste over udstyr, der kan være berørt. Trusselsvurderingen kan læses i sin helhed her (PDF).
