Hacker voert Equation Group-exploit succesvol uit op Cisco-firewall

Een Twitter-gebruiker met de naam 'XORcat' heeft een exploit uit de uitgelekte bestanden van de Equation Group met succes uitgevoerd op een Cisco ASA-firewall. De bestanden werden in het weekend gepubliceerd door een groep die zichzelf de Shadowbrokers noemt.

In een blogpost schrijft XORcat dat hij na publicatie van de uitgelekte bestanden heeft besloten om een van de exploits uit te proberen. Zijn keuze viel daarbij op de ExtraBacon-exploit, die geschreven is voor een Cisco ASA. De hacker zegt ervaring te hebben met dit soort firewalls. Om de exploit toe te passen is het nodig dat de aanvaller leestoegang heeft met snmp, naast toegang met telnet of ssh.

Ook mag de firewallsoftware niet hoger zijn dan versie 8.4(4). Uiteindelijk lukt het XORcat om de exploit succesvol uit te voeren in een testomgeving, waardoor hij toegang weet te verkrijgen zonder inloggegevens te verstrekken. Aan het einde van zijn post schrijft hij: "Daar ga je dan, de NSA heeft eenvoudig te gebruiken exploits geschreven." Het is onduidelijk wie XORcat is, omdat zijn Twitter-account zeer recent is aangemaakt. Op Reddit zegt een gebruiker met dezelfde naam onlangs begonnen te zijn met het schrijven van blogposts.

Naar aanleiding van het bericht lijkt het erop dat in ieder geval een deel van de uitgelekte bestanden werkende exploits bevatten. Ook Edward Snowden heeft zich op Twitter in een serie tweets over de zaak uitgelaten. Hij stelt daarbij dat de gegevens waarschijnlijk afkomstig zijn van een staging server van de NSA en dat iemand de tools niet heeft weggehaald na een operatie. Ook zou het niet de eerste keer zijn dat een NSA-server is gehackt, de publicatie daarvan zou echter wel een primeur zijn.

Snowden vermoedt dat er diplomatieke redenen zijn om de uitgelekte bestanden te publiceren en dat het waarschijnlijk is dat Rusland voor de publicatie verantwoordelijk is. Bovendien zou het een belangrijk signaal zijn, omdat mogelijk bewezen kan worden dat er Amerikaanse aanvallen vanaf de gehackte server uitgevoerd zijn. Hij vat zijn posts samen door te zeggen dat het lek de indruk wekt dat 'iemand een boodschap wil sturen dat een escalatie in het toewijzen van de hack op de DNC snel lelijk kan aflopen'.

De uitgelekte bestanden in kwestie verschenen in het weekend op internet en een onbekende groepering onder de naam 'Shadowbrokers' claimde verantwoordelijkheid voor een hack op een server van de Equation Group. Het vermoeden bestaat dat deze groep in verband staat met de NSA. De Shadowbrokers hebben een deel van de buitgemaakte bestanden gepubliceerd, waaronder de ExtraBacon-exploit. Een ander deel willen zij veilen. Er is geen tijdslimiet aan de veiling gesteld, al claimt de groepering deze stop te zetten als er 1 miljoen bitcoin is overgemaakt.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 16-08-2016 19:12
25 • submitter: Mx!

16-08-2016 • 19:12

25 Linkedin

Submitter: Mx!

Lees meer

Hacker kreeg toegang tot Reddit-database uit 2007 en recente mails met usernames Nieuws van 1 augustus 2018
Onderzoekers treffen 10 kwetsbaarheden aan in 25 recente Linksys-routers Nieuws van 22 april 2017
Shadowbrokers geven wachtwoord voor versleutelde set NSA-hacktools vrij Nieuws van 9 april 2017
Cisco lost nog een kritieke kwetsbaarheid op in WebEx-browserextensie Nieuws van 29 januari 2017
Shadowbrokers stoppen met communicatie en laten verkoop NSA-hacktools doorgaan Nieuws van 12 januari 2017
'Nieuwe publicatie Shadowbrokers bevat uitgebreide NSA-hacktools' Nieuws van 18 december 2016
Shadowbrokers: Nieuwe publicatie toont servers die door NSA werden gebruikt Nieuws van 31 oktober 2016
Shadowbrokers stoppen met veiling van NSA-hacktools Nieuws van 17 oktober 2016
Cisco brengt patches uit voor kwetsbaarheden gebruikt in NSA-exploits Nieuws van 25 augustus 2016
Cisco en Fortinet brengen waarschuwingen uit voor NSA-exploits Nieuws van 18 augustus 2016
Cisco ontslaat 5500 werknemers Nieuws van 18 augustus 2016
'Cisco wil bijna twintig procent van zijn medewerkers ontslaan' Nieuws van 17 augustus 2016
Groepering claimt bestanden van aan NSA gerelateerde Equation Group te veilen Nieuws van 15 augustus 2016
Democraten VS: Russen manipuleren verkiezingen met bij hack gestolen e-mails Nieuws van 25 juli 2016
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (25)

-Moderatie-faq
25
25
11
4
0
12
Wijzig sortering
dezejongeman
16 augustus 2016 19:43
Op de cisco support pagina even het 1 en ander gecontroleerd, maar we hebben het hier over software uit 18 juni 2012 of ouder. Er zijn natuurlijk nog zat asa's te vinden met oude software, maar toch. Daarnaast is de relatief recente bug van ikev1 en ikev2 tunnels makkelijker te exploiten en op veel meer versies toe te passen. Daarnaast ben ik nog wel benieuwd of het ook op 8.3.x of ouder werkt, aangezien asa's met die software op bepaalde punten fundamenteel anders werken.

[Reactie gewijzigd door dezejongeman op 16 augustus 2016 19:45]

Barreljan
@dezejongeman16 augustus 2016 20:12
Er word gesproken over "niet ouder als 8.4(4)", dus ja dat werkt dan ook op 8.3 vermoed ik want dat is al de object-based configuration. Van 8.2 naar 8.3 is inderdaad de grote stap. Kennelijk (nog niet gezocht en ingedoken) is er vanaf 8.4(4) een bug gefixt die dit verhelpt.

Maar je kan zonder morren van 8.2(5) naar 8.4(4) en dan door naar 9.1(7) op een ASA 5500 serie (zelf getest met 5510 toen na die IKE vulnerability). Daarna je configuratie opschonen (veel dubbele objecten) maar de werking, inclusief policy's en IKE/Anyconnect VPN blijven keurig werken.

[Reactie gewijzigd door Barreljan op 16 augustus 2016 20:13]

ReTechNL
@Barreljan17 augustus 2016 14:26
https://twitter.com/msuiche/status/765177218234458112
Quote:Extrabacon seems to target Cisco Adaptive Security Appliances from 8.0 to 8.4 #ShadowBrokers #EquationGroup
https://pbs.twimg.com/media/Cp50e1SXEAAL86w.jpg
Marty007
@dezejongeman17 augustus 2016 19:01
Ik heb ook ooit malware zelf toegepast.. het junkie boot msdos geval....
In die zin interessant dat het ook oude zooi is... so what als een exploit van 4 jaar geleden werkt.. dat gat is al bijna net zo lang dicht tegenwoordig. ..
Zegt me weinig dit nieuwsbericht . ..
Pietervs
16 augustus 2016 19:20
waardoor hij toegang weet te verkrijgen zonder inloggegevens te verstrekken
Kleine correctie: je krijgt verbinding. Maar om daadwerkelijk iets te kunnen wijzigen is het enable wachtwoord nog steeds nodig: daar kom je (gelukkig) nog niet om heen met deze exploit.

Maar het feit dat je met deze exploit al verbinding kan maken zonder username en wachtwoord is al zorgelijk genoeg: lang niet alle beheerders hebben de kennis in huis om hun firewall te upgraden. Daarnaast zijn er genoeg die het niet aan durven of weten welke versie ze uberhaupt hebben.
Tel daar nog bij, dat Cisco upgrades alleen binnen de eigen "trein" beschikbaar stelt en bedrijven voor kosten komen te staan als ze willen upgraden en je snapt dat er nogal wat bedrijven de komende tijd vulnerable zijn...
asing
@Pietervs16 augustus 2016 19:42
Ik denk dat je even kaf en koren moet scheiden :).

Het eerste wat je nodig hebt is een ASA met verouderde software. Het lek was dus reeds bekend en is gepatched. Daar is je beheerder voor en als die het niet kan moet je een service contract afsluiten. Een firewall is iets te belangrijk.

Dan heb je SNMP read toegang nodig, en SSH of Telnet. Dat zijn poort 22 en 23. Er is geen enkele reden om die aan de buitenkant open te zetten dus een aanval vanaf buiten is op deze manier niet mogelijk.

Je komt alleen verder met een aanval van binnen. Echter, een wat groter bedrijf heeft zijn netwerken afgeschermd. Eentje met de PC's, eentje met de servers, en eentje met beheermachines. Als dat goed is ingericht kan je ook die poorten open zetten maar enkel voor de machines/netwerken die dat nodig hebben. Dus je trap server staat in je server deel, en kan bij SNMP, de machine waarmee je de firewall beheert staat in het management deel en heeft toegang tot SSH/Telnet.

Je ziet, met een heel klein beetje moeite en nadenken, en een goede configuratie, zorg je ervoor dat de hack niet eens werkt.
CEx
@asing16 augustus 2016 21:15
En toen vergat willempie op vrijdagmiddag het e.e.a.
Hoe groter het bedrijf hoe meer blind spots.
En is het je eigen bedrijf niet, dan wel je leveranciers.

Daarnaast is het niet relevant of deze ene methode direct voor groot gevaar zorgt. Wat de beste man heeft proberen aan te tonen is dat dit echte exploits zijn.
lazershark
@CEx16 augustus 2016 23:43
Inderdaad, dat leidt ik ook af uit het artikel.

Men wordt geconfronteerd met een leak van exploits die - naar men beweert- door de NSA gebruikt zouden worden. Nu heeft deze hacker dus kunnen aantonen dat de exploits wel degelijk werken.

Of deze ene gelekte exploit nu echt gevaarlijk is of niet, is irrelevant. Sterker nog: aangezien ze de exploits willen verkopen, hebben ze de beste en gevaarlijkste exploits vast nog lekker voor zichzelf gehouden om er geld uit te slaan! De exploits die ze - gratis- gereleased hebben zijn vast als bewijs dat ze echt zijn.
Pietervs
@asing16 augustus 2016 21:43
Klein beetje moeite en nadenken is niet moeilijk, als je weet waar je mee bezig bent... ;)
Vervelende is, dat juist bij kleine bedrijven IT-ers zitten, die alles moeten doen, dus nergens echt diepgaande kennis van hebben. Denken een keer iets te gaan doen met snmp, zetten het dus maar vast aan (op de uitgaande interface), komen er vervolgens niet meer aan toe want door de waan van de dag hebben ze nog tig dingen die ineens prioriteit hebben en daar heb je al je eerste lek.
Vervolgens denken ze "dat zoek ik vanavond thuis wel op mijn gemakkie uit" en zetten SSH aan want dan kunnen ze vanuit huis de configuratie verder afmaken en dan zetten we SSH morgen als we op kantoor zijn wel weer uit... :X

En wat Asing ook zegt: de professionele blindspots van de grote bedrijven: dat doet mijn collega wel even... Om er een half jaar later achter te komen dat die collega precies hetzelfde dacht 8)7

Het hoeft dus niet eens kwestie van onwil, moedwillig geklungel of echte onkunde te zijn...
bbob
@asing16 augustus 2016 21:43
Dan heb je SNMP read toegang nodig, en SSH of Telnet. Dat zijn poort 22 en 23. Er is geen enkele reden om die aan de buitenkant open te zetten dus een aanval vanaf buiten is op deze manier niet mogelijk.
Zou je denken maar ja er zijn bedrijven die dan bij de kleinere zonder admin remote management doen via een open poort, lekker handig.

Heb dit bij een kennis zelf gezien met panasonic tel centrale. Firewall en de sukkels gewoon poort open laten staan om de centrale te beheren. Daarnaast was dat ook nog eens de standaard Panasonic poort niet forward naar andere poort of alleen toegang vanaf een bepaald ip adres en dus ja raak 2000 euro schade door voip hack.

Het mag niet maar genoeg ook grotere bedrijven die poorten bij klanten open laten staan voor het gemak.
Olaf van der Spek
@Pietervs16 augustus 2016 19:38
lang niet alle beheerders hebben de kennis in huis om hun firewall te upgraden.
Dat is vragen om problemen...
Pietervs
@Olaf van der Spek16 augustus 2016 19:40
Helemaal mee eens!
Maar genoeg kleine bedrijven waar een dozenschuiver een ASA naar binnen geschoven heeft, de administrateur dienst doet als IT-er omdat hij weet hoe je het moet spellen maar verder geen kennis van zaken heeft. ;(
asing
@Olaf van der Spek16 augustus 2016 22:10
Klopt, ik werk voor een wat groter bedrijf, wij hebben een paar netwerkbeheerders in dienst, alleen voor netwerkapparaten. Alles dicht, tenzij je kan motiveren waarom het open moet. En dan alleen van het punt waar het vandaan moet komen naar het punt waar het heen moet.

Toen ik voor een klein bedrijf werkte werd de firewall beheerd door een extern bedrijf. Zij waren ook streng ;).

Alles wat ik hierboven lees is sloppyness van de beheerders die opzettelijk of per ongeluk poorten open laten staan, en VOIP leveranciers die aan de firewall mogen zitten. Dan kan je op problemen wachten.

Opgeleid, geconcentreerd personeel, of ingehuurde specialisten, en je kan een hele berg voorkomen. Daarnaast staat iedere firewall standaard op "deny all' dus als je het open laat staan heb je het zelf toegevoegd.
jeffhuys
16 augustus 2016 19:18
Zullen de exploits/documenten dan toch echt zijn? Dat zou huge zijn.
Pietervs
@jeffhuys16 augustus 2016 19:21
Linkjes staan in de blogpost...
Inclusief beschrijving hoe hij/zij ze toegepast heeft.

[Reactie gewijzigd door Pietervs op 16 augustus 2016 19:22]

Clubbtraxx
@jeffhuys16 augustus 2016 19:24
Misschien wel, maar welke gek gaat er zonder garanties 1 miljoen bitcoin overnaken?
Nog los van het feit dat het een enorme honey-pot zou kunnen zijn...
Pwigle
@Clubbtraxx16 augustus 2016 19:38
Het is een veiling waarbij ze (zeer) waarschijnlijk al met minder bitcoins genoegen nemen. 1 miljoen is de max.
kidde
@Clubbtraxx16 augustus 2016 21:41
Ze hopen vast dat de NSA betaalt, wie heeft immers de grootse problemen als dit op straat ligt en alles overal gepatcht wordt en nog meer aandacht krijgt?
terracide
@kidde16 augustus 2016 22:00
Maar denk je dat ze geen kopie hebben van wat ze veilen als die informatie 1 miljoen bitcoins waard is? NSA zou gek zijn als ze dat doen....
kidde
@terracide17 augustus 2016 00:31
Snowden merkt op dat het niet om het geld gaat, de malware hebben de hackers immers maar tot 2013 van de server kunnen halen dus is niet meer het meest recent en bij de tijd. Dus zeker geen half miljard waard. Dat wil natuurlijk niet zeggen dat de veiling 100% zeker nep is, en de NSA geen 1 miljoen kan bieden om te proberen te voorkomen dat een ander het koopt. Als ze de veiling winnen is er kans dat er een kopie was een iemand anders het krijgt, als een ander de veiling wint is dat zeker. De vraag is dus wat de kosten /baten/risico analyse is.
Gijs007
@jeffhuys16 augustus 2016 21:54
Het zou ook kunnen dat deze Twitter account door de zelfde partij is gemaakt, dus dit zegt nog niet zo veel.

Als tweakers (of een andere betrouwbare partij) nu zelf ook even deze files dubbel checkt en de exploit test.. :P
tripkip
16 augustus 2016 20:34
https://twitter.com/Snowden/status/765513662597623808
Barreljan
16 augustus 2016 20:06
Het barst nog van de ASA's met software uit de 8.2 of oudere release... Dat is zorgelijk, maar je hebt naast SNMP read ook ssh/telnet access nodig dus een grote wereld ramp is het nóg niet.

Dus dat men de software niet kan/wil upgraden neemt niet weg dat je simpel de snmp én ssh/telnet acces kan beperken. Kleine sidenote; als je TELNET open zet op de 'outside' interface krijg je notabene al een warning voor je kiezen. Dus je bent al niet slim bezig als dat het geval is.
LordLuc
16 augustus 2016 21:06
Shadowbrokers. Mass Effect fans. _/-\o_
freaxje
17 augustus 2016 00:10
Wat, ik denk, we kunnen concluderen (op basis van feiten) is dat iedereen die met dit soort producten werkt, zich moet bezinnen over wie en wat je op je netwerk wil. Is het zo dat je bv. de Amerikaanse overheid op je netwerk wil, dan zijn deze producten prima. Je hebt nu dan ook de garantie dat in ieder geval die overheid op je netwerk effectief zal zitten. Vind je dat minder prima, dan moet je als systeembeheerder beginnen nadenken over de consequenties van je keuzes. In ieder geval hoort je baas over die consequenties na te denken. Bijgevolg dien jij als uitvoerder van een implementatie te weten wat je aan het doen bent. Dat, of je bent een amateur.

Deze exploids gaan nu ook, ongecontroleerd, publiek gemaakt worden. Dat wil zeggen dat ook andere overheden én andere actoren vrij op je netwerk zullen kunnen. Je zal er géén controle over hebben.

We weten dus nu, met zekerheid én confirmatie m.b.v. een getestte én gepubliceerde exploid (er is dus géén enkel ontkennen meer mogelijk - whatever je opleiding, gehaalde examens, certificieering, ideologie of wat dan ook) dat deze producten vrij toegang verlenen tot uw netwerk.

Dat lijkt me de belangrijkste conclusie. Vanuit die conclusie kunnen we nieuwe plannen maken.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee