Kritisk sårbarhed fundet i millioner af Cisco-switches

5. april 2018 kl. 12:272
Kritisk sårbarhed fundet i millioner af Cisco-switches
Illustration: victoras/Bigstock.
Se, hvilken åben port der kan betyde, at du kan blive angrebet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Cisco har udgivet en række sikkerhedsopdateringer, som fjerner over 20 sårbarheder i selskabets switches – eller rettere sagt i den underliggende software Cisco IOS og IOS XE.

Det inkluderer tre kritiske sårbarheder, som en angriber kan misbruge til at foretage DDoS- og fjernangreb, herunder kørsel af vilkårlig kode og hacking af netværksudstyr over det åbne internet.

Mest kritisk er nok fejlen med serienummeret CVE-2018-0171, som berører Smart Install, kan Zdnet fortælle. Programmet er en klient, Cisco tilbyder til hurtig udrulning og konfigurering af netværksudstyr.

Fejlen skyldes manglende validering af input over TCP-port 4786. En angriber kan ifølge Cisco udnytte dette ved at sende specialdesignede datapakker.

Fandt 8,5 millioner sårbare enheder

Det israelske sikkerhedsselskab Embedi står bag fundet, som førte dem til tops i hackerkonkurrencen GeekPwn i Hongkong i maj sidste år. Etter aftale med leverandøren har de ventet til nu med at røbe detaljerne.

Artiklen fortsætter efter annoncen

I en længere teknisk redegørelse deler de deres proof-of-concept og angrebskode, som giver fuld kontrol over det berørte udstyr.

Sårbart udstyr

Ifølge selskabet bag fundet er flere millioner switches og routere sårbare over for CVE-2018-0171 med de nævnte fejl i Smart Install.

De har lavet en liste over modeller, de mener potentielt er sårbare. Dette er nogle af dem:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Selskabet troede først, at sårbarheden kun kunne udnyttes lokalt i et netværk, men det viste sig ikke at stemme.

En hurtig søgning på internettet har ifølge Embedi afdækket en kvart million switches og routere, som er i farezonen, og samlet 8,5 millioner enheder, som har den sårbare port åben.

Hvis du har netværksudstyr med en åben tcp 4786-port, så er du sårbar, lyder advarslen.

Endnu en bagdør

Blandt de øvrige kritiske sårbarheder er der påvist en ny udokumenteret konto med et standard-brugernavn og password, som lader en angriber logge sig på netværksudstyr.

CVE-2018-0150 føjer sig til rækken af lignende fund. Denne gang er det udstyr med softwaren Cisco IOS XE version 16.x, som er berørt.

Den tredje kritiske fejl, Cisco retter i denne omgang, er påvist i en del af IOS og IOS XE, som håndterer servicekvalitet eller QoS (Quality of Service). CVE-2018-0151 kan også give fuld kontrol over udstyret via fjernangreb.

Alle de nævnte sårbarheder har af Cisco fået en pointsum på 9,8 ud af 10 i Common Vulnerability Scoring System (CVSS).

Denne artikel er fra digi.no.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
6. april 2018 kl. 12:49

"Det burde man kunne kræve af professionelle firmaer"

NSA er nok kede af at deres huller er blevet opdaget. Men det viser vel igen, igen og igen at man ikke kan have bagdøre i ting uden at andre også kan tilgå dem.

Samt valg af software/hardware til sikkerhed fra Kina og USA er tåbeligt.

1
5. april 2018 kl. 15:42

Det er altid lidt chokerende hvor meget udstyr der bliver sat op så der er tilsyneladende er frit adgang fra internettet til administrative porte, eller i det hele taget nogen som helst porte hvor det ikke er meningen.

Det burde man kunne kræve af professionelle firmaer og måske der burde være regler ala GPDR så man kan komme efter dem hvor det resulterer i at andre på en eller anden måde bliver påvirket. Det burde heller ikke være umuligt for selv mindre virksomheder uden intern viden om emnet at holde sig skjult bag en korrekt opsat router/firewall.

Måske leverandørerne selv kunne gøre noget, ved f.eks. at have default access lister der begrænser adgang til lokale subnet for den slags porte (ikke perfekt, men vil et sted at starte).