Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Submitter: Mx!

Een Twitter-gebruiker met de naam 'XORcat' heeft een exploit uit de uitgelekte bestanden van de Equation Group met succes uitgevoerd op een Cisco ASA-firewall. De bestanden werden in het weekend gepubliceerd door een groep die zichzelf de Shadowbrokers noemt.

In een blogpost schrijft XORcat dat hij na publicatie van de uitgelekte bestanden heeft besloten om een van de exploits uit te proberen. Zijn keuze viel daarbij op de ExtraBacon-exploit, die geschreven is voor een Cisco ASA. De hacker zegt ervaring te hebben met dit soort firewalls. Om de exploit toe te passen is het nodig dat de aanvaller leestoegang heeft met snmp, naast toegang met telnet of ssh.

Ook mag de firewallsoftware niet hoger zijn dan versie 8.4(4). Uiteindelijk lukt het XORcat om de exploit succesvol uit te voeren in een testomgeving, waardoor hij toegang weet te verkrijgen zonder inloggegevens te verstrekken. Aan het einde van zijn post schrijft hij: "Daar ga je dan, de NSA heeft eenvoudig te gebruiken exploits geschreven." Het is onduidelijk wie XORcat is, omdat zijn Twitter-account zeer recent is aangemaakt. Op Reddit zegt een gebruiker met dezelfde naam onlangs begonnen te zijn met het schrijven van blogposts.

Naar aanleiding van het bericht lijkt het erop dat in ieder geval een deel van de uitgelekte bestanden werkende exploits bevatten. Ook Edward Snowden heeft zich op Twitter in een serie tweets over de zaak uitgelaten. Hij stelt daarbij dat de gegevens waarschijnlijk afkomstig zijn van een staging server van de NSA en dat iemand de tools niet heeft weggehaald na een operatie. Ook zou het niet de eerste keer zijn dat een NSA-server is gehackt, de publicatie daarvan zou echter wel een primeur zijn.

Snowden vermoedt dat er diplomatieke redenen zijn om de uitgelekte bestanden te publiceren en dat het waarschijnlijk is dat Rusland voor de publicatie verantwoordelijk is. Bovendien zou het een belangrijk signaal zijn, omdat mogelijk bewezen kan worden dat er Amerikaanse aanvallen vanaf de gehackte server uitgevoerd zijn. Hij vat zijn posts samen door te zeggen dat het lek de indruk wekt dat 'iemand een boodschap wil sturen dat een escalatie in het toewijzen van de hack op de DNC snel lelijk kan aflopen'.

De uitgelekte bestanden in kwestie verschenen in het weekend op internet en een onbekende groepering onder de naam 'Shadowbrokers' claimde verantwoordelijkheid voor een hack op een server van de Equation Group. Het vermoeden bestaat dat deze groep in verband staat met de NSA. De Shadowbrokers hebben een deel van de buitgemaakte bestanden gepubliceerd, waaronder de ExtraBacon-exploit. Een ander deel willen zij veilen. Er is geen tijdslimiet aan de veiling gesteld, al claimt de groepering deze stop te zetten als er 1 miljoen bitcoin is overgemaakt.

Moderatie-faq Wijzig weergave

Reacties (25)

Op de cisco support pagina even het 1 en ander gecontroleerd, maar we hebben het hier over software uit 18 juni 2012 of ouder. Er zijn natuurlijk nog zat asa's te vinden met oude software, maar toch. Daarnaast is de relatief recente bug van ikev1 en ikev2 tunnels makkelijker te exploiten en op veel meer versies toe te passen. Daarnaast ben ik nog wel benieuwd of het ook op 8.3.x of ouder werkt, aangezien asa's met die software op bepaalde punten fundamenteel anders werken.

[Reactie gewijzigd door dezejongeman op 16 augustus 2016 19:45]

Er word gesproken over "niet ouder als 8.4(4)", dus ja dat werkt dan ook op 8.3 vermoed ik want dat is al de object-based configuration. Van 8.2 naar 8.3 is inderdaad de grote stap. Kennelijk (nog niet gezocht en ingedoken) is er vanaf 8.4(4) een bug gefixt die dit verhelpt.

Maar je kan zonder morren van 8.2(5) naar 8.4(4) en dan door naar 9.1(7) op een ASA 5500 serie (zelf getest met 5510 toen na die IKE vulnerability). Daarna je configuratie opschonen (veel dubbele objecten) maar de werking, inclusief policy's en IKE/Anyconnect VPN blijven keurig werken.

[Reactie gewijzigd door Barreljan op 16 augustus 2016 20:13]

https://twitter.com/msuiche/status/765177218234458112
Quote:Extrabacon seems to target Cisco Adaptive Security Appliances from 8.0 to 8.4 #ShadowBrokers #EquationGroup
https://pbs.twimg.com/media/Cp50e1SXEAAL86w.jpg
Ik heb ook ooit malware zelf toegepast.. het junkie boot msdos geval....
In die zin interessant dat het ook oude zooi is... so what als een exploit van 4 jaar geleden werkt.. dat gat is al bijna net zo lang dicht tegenwoordig. ..
Zegt me weinig dit nieuwsbericht . ..
waardoor hij toegang weet te verkrijgen zonder inloggegevens te verstrekken
Kleine correctie: je krijgt verbinding. Maar om daadwerkelijk iets te kunnen wijzigen is het enable wachtwoord nog steeds nodig: daar kom je (gelukkig) nog niet om heen met deze exploit.

Maar het feit dat je met deze exploit al verbinding kan maken zonder username en wachtwoord is al zorgelijk genoeg: lang niet alle beheerders hebben de kennis in huis om hun firewall te upgraden. Daarnaast zijn er genoeg die het niet aan durven of weten welke versie ze uberhaupt hebben.
Tel daar nog bij, dat Cisco upgrades alleen binnen de eigen "trein" beschikbaar stelt en bedrijven voor kosten komen te staan als ze willen upgraden en je snapt dat er nogal wat bedrijven de komende tijd vulnerable zijn...
Ik denk dat je even kaf en koren moet scheiden :).

Het eerste wat je nodig hebt is een ASA met verouderde software. Het lek was dus reeds bekend en is gepatched. Daar is je beheerder voor en als die het niet kan moet je een service contract afsluiten. Een firewall is iets te belangrijk.

Dan heb je SNMP read toegang nodig, en SSH of Telnet. Dat zijn poort 22 en 23. Er is geen enkele reden om die aan de buitenkant open te zetten dus een aanval vanaf buiten is op deze manier niet mogelijk.

Je komt alleen verder met een aanval van binnen. Echter, een wat groter bedrijf heeft zijn netwerken afgeschermd. Eentje met de PC's, eentje met de servers, en eentje met beheermachines. Als dat goed is ingericht kan je ook die poorten open zetten maar enkel voor de machines/netwerken die dat nodig hebben. Dus je trap server staat in je server deel, en kan bij SNMP, de machine waarmee je de firewall beheert staat in het management deel en heeft toegang tot SSH/Telnet.

Je ziet, met een heel klein beetje moeite en nadenken, en een goede configuratie, zorg je ervoor dat de hack niet eens werkt.
En toen vergat willempie op vrijdagmiddag het e.e.a.
Hoe groter het bedrijf hoe meer blind spots.
En is het je eigen bedrijf niet, dan wel je leveranciers.

Daarnaast is het niet relevant of deze ene methode direct voor groot gevaar zorgt. Wat de beste man heeft proberen aan te tonen is dat dit echte exploits zijn.
Inderdaad, dat leidt ik ook af uit het artikel.

Men wordt geconfronteerd met een leak van exploits die - naar men beweert- door de NSA gebruikt zouden worden. Nu heeft deze hacker dus kunnen aantonen dat de exploits wel degelijk werken.

Of deze ene gelekte exploit nu echt gevaarlijk is of niet, is irrelevant. Sterker nog: aangezien ze de exploits willen verkopen, hebben ze de beste en gevaarlijkste exploits vast nog lekker voor zichzelf gehouden om er geld uit te slaan! De exploits die ze - gratis- gereleased hebben zijn vast als bewijs dat ze echt zijn.
Klein beetje moeite en nadenken is niet moeilijk, als je weet waar je mee bezig bent... ;)
Vervelende is, dat juist bij kleine bedrijven IT-ers zitten, die alles moeten doen, dus nergens echt diepgaande kennis van hebben. Denken een keer iets te gaan doen met snmp, zetten het dus maar vast aan (op de uitgaande interface), komen er vervolgens niet meer aan toe want door de waan van de dag hebben ze nog tig dingen die ineens prioriteit hebben en daar heb je al je eerste lek.
Vervolgens denken ze "dat zoek ik vanavond thuis wel op mijn gemakkie uit" en zetten SSH aan want dan kunnen ze vanuit huis de configuratie verder afmaken en dan zetten we SSH morgen als we op kantoor zijn wel weer uit... :X

En wat Asing ook zegt: de professionele blindspots van de grote bedrijven: dat doet mijn collega wel even... Om er een half jaar later achter te komen dat die collega precies hetzelfde dacht 8)7

Het hoeft dus niet eens kwestie van onwil, moedwillig geklungel of echte onkunde te zijn...
Dan heb je SNMP read toegang nodig, en SSH of Telnet. Dat zijn poort 22 en 23. Er is geen enkele reden om die aan de buitenkant open te zetten dus een aanval vanaf buiten is op deze manier niet mogelijk.
Zou je denken maar ja er zijn bedrijven die dan bij de kleinere zonder admin remote management doen via een open poort, lekker handig.

Heb dit bij een kennis zelf gezien met panasonic tel centrale. Firewall en de sukkels gewoon poort open laten staan om de centrale te beheren. Daarnaast was dat ook nog eens de standaard Panasonic poort niet forward naar andere poort of alleen toegang vanaf een bepaald ip adres en dus ja raak 2000 euro schade door voip hack.

Het mag niet maar genoeg ook grotere bedrijven die poorten bij klanten open laten staan voor het gemak.
lang niet alle beheerders hebben de kennis in huis om hun firewall te upgraden.
Dat is vragen om problemen...
Helemaal mee eens!
Maar genoeg kleine bedrijven waar een dozenschuiver een ASA naar binnen geschoven heeft, de administrateur dienst doet als IT-er omdat hij weet hoe je het moet spellen maar verder geen kennis van zaken heeft. ;(
Klopt, ik werk voor een wat groter bedrijf, wij hebben een paar netwerkbeheerders in dienst, alleen voor netwerkapparaten. Alles dicht, tenzij je kan motiveren waarom het open moet. En dan alleen van het punt waar het vandaan moet komen naar het punt waar het heen moet.

Toen ik voor een klein bedrijf werkte werd de firewall beheerd door een extern bedrijf. Zij waren ook streng ;).

Alles wat ik hierboven lees is sloppyness van de beheerders die opzettelijk of per ongeluk poorten open laten staan, en VOIP leveranciers die aan de firewall mogen zitten. Dan kan je op problemen wachten.

Opgeleid, geconcentreerd personeel, of ingehuurde specialisten, en je kan een hele berg voorkomen. Daarnaast staat iedere firewall standaard op "deny all' dus als je het open laat staan heb je het zelf toegevoegd.
Zullen de exploits/documenten dan toch echt zijn? Dat zou huge zijn.
Linkjes staan in de blogpost...
Inclusief beschrijving hoe hij/zij ze toegepast heeft.

[Reactie gewijzigd door Pietervs op 16 augustus 2016 19:22]

Misschien wel, maar welke gek gaat er zonder garanties 1 miljoen bitcoin overnaken?
Nog los van het feit dat het een enorme honey-pot zou kunnen zijn...
Het is een veiling waarbij ze (zeer) waarschijnlijk al met minder bitcoins genoegen nemen. 1 miljoen is de max.
Ze hopen vast dat de NSA betaalt, wie heeft immers de grootse problemen als dit op straat ligt en alles overal gepatcht wordt en nog meer aandacht krijgt?
Maar denk je dat ze geen kopie hebben van wat ze veilen als die informatie 1 miljoen bitcoins waard is? NSA zou gek zijn als ze dat doen....
Snowden merkt op dat het niet om het geld gaat, de malware hebben de hackers immers maar tot 2013 van de server kunnen halen dus is niet meer het meest recent en bij de tijd. Dus zeker geen half miljard waard. Dat wil natuurlijk niet zeggen dat de veiling 100% zeker nep is, en de NSA geen 1 miljoen kan bieden om te proberen te voorkomen dat een ander het koopt. Als ze de veiling winnen is er kans dat er een kopie was een iemand anders het krijgt, als een ander de veiling wint is dat zeker. De vraag is dus wat de kosten /baten/risico analyse is.
Het zou ook kunnen dat deze Twitter account door de zelfde partij is gemaakt, dus dit zegt nog niet zo veel.

Als tweakers (of een andere betrouwbare partij) nu zelf ook even deze files dubbel checkt en de exploit test.. :P
Het barst nog van de ASA's met software uit de 8.2 of oudere release... Dat is zorgelijk, maar je hebt naast SNMP read ook ssh/telnet access nodig dus een grote wereld ramp is het nóg niet.

Dus dat men de software niet kan/wil upgraden neemt niet weg dat je simpel de snmp én ssh/telnet acces kan beperken. Kleine sidenote; als je TELNET open zet op de 'outside' interface krijg je notabene al een warning voor je kiezen. Dus je bent al niet slim bezig als dat het geval is.
Shadowbrokers. Mass Effect fans. _/-\o_
Wat, ik denk, we kunnen concluderen (op basis van feiten) is dat iedereen die met dit soort producten werkt, zich moet bezinnen over wie en wat je op je netwerk wil. Is het zo dat je bv. de Amerikaanse overheid op je netwerk wil, dan zijn deze producten prima. Je hebt nu dan ook de garantie dat in ieder geval die overheid op je netwerk effectief zal zitten. Vind je dat minder prima, dan moet je als systeembeheerder beginnen nadenken over de consequenties van je keuzes. In ieder geval hoort je baas over die consequenties na te denken. Bijgevolg dien jij als uitvoerder van een implementatie te weten wat je aan het doen bent. Dat, of je bent een amateur.

Deze exploids gaan nu ook, ongecontroleerd, publiek gemaakt worden. Dat wil zeggen dat ook andere overheden én andere actoren vrij op je netwerk zullen kunnen. Je zal er géén controle over hebben.

We weten dus nu, met zekerheid én confirmatie m.b.v. een getestte én gepubliceerde exploid (er is dus géén enkel ontkennen meer mogelijk - whatever je opleiding, gehaalde examens, certificieering, ideologie of wat dan ook) dat deze producten vrij toegang verlenen tot uw netwerk.

Dat lijkt me de belangrijkste conclusie. Vanuit die conclusie kunnen we nieuwe plannen maken.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True