Kritisk sårbarhed fundet i millioner af Cisco-switches

Illustration: victoras/Bigstock

Se, hvilken åben port der kan betyde, at du kan blive angrebet.

Marius Jørgenrud, digi.no redaktion@version2.dk Torsdag, 5. april 2018 - 12:272

Cisco har udgivet en række sikkerhedsopdateringer, som fjerner over 20 sårbarheder i selskabets switches – eller rettere sagt i den underliggende software Cisco IOS og IOS XE.

Det inkluderer tre kritiske sårbarheder, som en angriber kan misbruge til at foretage DDoS- og fjernangreb, herunder kørsel af vilkårlig kode og hacking af netværksudstyr over det åbne internet.

Mest kritisk er nok fejlen med serienummeret CVE-2018-0171, som berører Smart Install, kan Zdnet fortælle. Programmet er en klient, Cisco tilbyder til hurtig udrulning og konfigurering af netværksudstyr.

Fejlen skyldes manglende validering af input over TCP-port 4786. En angriber kan ifølge Cisco udnytte dette ved at sende specialdesignede datapakker.

Fandt 8,5 millioner sårbare enheder

Det israelske sikkerhedsselskab Embedi står bag fundet, som førte dem til tops i hackerkonkurrencen GeekPwn i Hongkong i maj sidste år. Etter aftale med leverandøren har de ventet til nu med at røbe detaljerne.

I en længere teknisk redegørelse deler de deres proof-of-concept og angrebskode, som giver fuld kontrol over det berørte udstyr.

Selskabet troede først, at sårbarheden kun kunne udnyttes lokalt i et netværk, men det viste sig ikke at stemme.

En hurtig søgning på internettet har ifølge Embedi afdækket en kvart million switches og routere, som er i farezonen, og samlet 8,5 millioner enheder, som har den sårbare port åben.

Hvis du har netværksudstyr med en åben tcp 4786-port, så er du sårbar, lyder advarslen.

Endnu en bagdør

Blandt de øvrige kritiske sårbarheder er der påvist en ny udokumenteret konto med et standard-brugernavn og password, som lader en angriber logge sig på netværksudstyr.

CVE-2018-0150 føjer sig til rækken af lignende fund. Denne gang er det udstyr med softwaren Cisco IOS XE version 16.x, som er berørt.

Den tredje kritiske fejl, Cisco retter i denne omgang, er påvist i en del af IOS og IOS XE, som håndterer servicekvalitet eller QoS (Quality of Service). CVE-2018-0151 kan også give fuld kontrol over udstyret via fjernangreb.

Alle de nævnte sårbarheder har af Cisco fået en pointsum på 9,8 ud af 10 i Common Vulnerability Scoring System (CVSS).

Denne artikel er fra digi.no.

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (2)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

#1 Nikolaj Bech 5. april 2018 - 15:42

GPDR for internet opkoblet udstyr

Det er altid lidt chokerende hvor meget udstyr der bliver sat op så der er tilsyneladende er frit adgang fra internettet til administrative porte, eller i det hele taget nogen som helst porte hvor det ikke er meningen.

Det burde man kunne kræve af professionelle firmaer og måske der burde være regler ala GPDR så man kan komme efter dem hvor det resulterer i at andre på en eller anden måde bliver påvirket. Det burde heller ikke være umuligt for selv mindre virksomheder uden intern viden om emnet at holde sig skjult bag en korrekt opsat router/firewall.

Måske leverandørerne selv kunne gøre noget, ved f.eks. at have default access lister der begrænser adgang til lokale subnet for den slags porte (ikke perfekt, men vil et sted at starte).

#2 Hans Nielsen 6. april 2018 - 12:49

Endnu en skifte til andet Infrakstruktur.

"Det burde man kunne kræve af professionelle firmaer"

NSA er nok kede af at deres huller er blevet opdaget. Men det viser vel igen, igen og igen at man ikke kan have bagdøre i ting uden at andre også kan tilgå dem.

Samt valg af software/hardware til sikkerhed fra Kina og USA er tåbeligt.

Log ind eller Opret konto for at kommentere