Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Cisco heeft patches uitgebracht voor kwetsbaarheden in zijn ASA-firewalls. Deze kwamen aan het licht door de publicatie van verschillende exploits door een groep met de naam Shadowbrokers. De exploits zijn afkomstig van de Amerikaanse NSA.

In een update van een eerder bericht schrijft Cisco dat het begonnen is met het uitbrengen van patches voor de zogenaamde ExtraBacon-exploit. De kwetsbaarheid met kenmerk cve-2016-6366 maakte het voor een aanvaller mogelijk om via een speciaal snmp-pakket de controle te verkrijgen over een ASA-firewall. Daarbij moet de aanvaller al wel controle hebben over het netwerk, legde een Cisco medewerker eerder aan Threatpost uit.

In eerste instantie leek de exploit alleen te werken op versies 8.4(4) en lager van de firewallsoftware. Deze week kwam het Hongaarse beveiligingsbedrijf Silent Signal er echter achter dat ExtraBacon eenvoudig is aan te passen om ook op nieuwere versies van de software toegepast te worden. Het bedrijf was in staat om de exploit werkend te krijgen tot versie 9.2(4) van de software, waardoor een groter aantal ASA-firewalls kwetsbaar bleek te zijn. Silent Signal zegt donderdag nog geen nieuwere versies van de exploit vrij te geven zolang er nog geen patches beschikbaar zijn. Cisco heeft een tijdslijn gepubliceerd voor de te verwachten patches, waarbij de meeste updates deze week staan gepland.

De exploits, waaronder ExtraBacon, kwamen begin vorige week aan het licht toen de Shadowbrokers een bericht op GitHub plaatsen. Daarin claimden zij dat de exploits afkomstig waren van de Equation Group, die gelinkt is aan de NSA. De groepering kondigde ook aan om 'nog betere software' via een veiling aan te bieden. Tot nu toe is daarover echter niet opnieuw gecommuniceerd en is er slechts iets minder dan 900 euro overgemaakt naar het opgegeven bitcoinadres. De exploits zijn geschreven voor apparatuur van onder andere Cisco, Fortinet en Juniper. Een deel van deze bedrijven publiceerde onlangs een waarschuwing over de Shadowbrokers-bestanden.

Moderatie-faq Wijzig weergave

Reacties (49)

Die hadden ze natuurlijk alvast klaarliggen....
De NSA heeft gewoon SLA's met betreffende bedrijven voor dit soort exploits. is allemaal ingeregeld.

exploit is ontdekt -> er gaat een standaard protocol in werking -> de volgende exploit ligt alweer klaar. -> cisco bied excusses aan, en de wereld gaat vrolijk verder.

[Reactie gewijzigd door niels95 op 25 augustus 2016 11:53]

Je krijgt -1 maar dat gevoel heb ik langzamerhand ook .
De NSA heeft gewoon SLA's met betreffende bedrijven voor dit soort exploits. is allemaal ingeregeld.
Een SLA is een paper trail. Paper trails hebben de neiging om aan het licht te komen.

Als het de NSA zou zijn, dan zou ik eerder een 'inside job' verwachten. Niet per se een NSA medewerker, maar bijvoorbeeld iemand die onder druk wordt gezet of die denkt dat hij het goede doet.

[Reactie gewijzigd door The Zep Man op 25 augustus 2016 11:49]

Niets mis met een gezonde hoeveelheid paranoļa in deze tijd. Na alles wat aan het licht is gekomen de afgelopen jaren en alles wat ongetwijfeld nog verborgen is, sta ik nergens meer van te kijken.
Dat is zoals Volkswagen die zegt dat 1 medewerker op eigen houtje gehandeld heeft om die sjoemel modules te laten installeren in hun wagens. Zo een overeenkomsten hebben nu eenmaal de neiging om te lekken door ontevreden werknemers of op een andere manier.

Ik vermoed dat de NSA, door de complexiteit van de software wel meerdere werkende exploits heeft en een bedrijf er niet expliciet van moet weerhouden om dingen te patchen.
Wellicht doel je op dit artikel uit 2015
Cisco kan dit allemaal makkelijk omzeilen door alleen digitaal getekende binaries te accepteren op hun apparatuur als deze wordt geupgrade. Dat doen ze niet dus vermoed ik dat ze meewerken met de NSA.
Ik vraag me af of we er ooit achter gaan komen of dit allemaal echt is. Voor hetzelfde geld is het allemaal doorgestoken kaart om de wereld in de waan te laten dat dergelijke hardware nog betrouwbaar is.
Als je SNMP naar de wereld open zet zou ik me toch eerder afvragen of mijn netwerkbeheerder betrouwbaar is.
En waar zet je dat open in jouw optiek?
Naar je eigen IP('s) in plaats van alle IP's op aarde.
Binnen de asa bedoel je dan en/of een firewall er voor?
De asa zelf. Ervoor kan natuurlijk ook.
Dat betekent dus dat je vertrouwd op de firmware wat betreft het eerste antwoord.
Dan koop je die Cisco niet in the first place met zon redenatie.
Dat geldt bij iedere vendor. Markt heeft dermate een klap opgeleverd, dat er organisaties zijn daar ook rekening mee houden.
Hoe overtuigt een vendor een koper dan van zijn onafhankelijkheid en security? Even slecht lijkt me?
Ik vermoed dat voor deze gepatchde exploit de NSA er nog tien anderen heeft, misschien wel ernstiger die via de WAN poort (internet) benaderbaar zijn. En met medeweten en instemming van Cisco ontwikkeld.

Zou mij niet verbazen dat er plotseling meerdere patches uitkomen voor Cisco routers / switches omdat de NSA zich realiseert dat Shadow Brokers ook toegang hebben tot die exploits.

[Reactie gewijzigd door ArtGod op 25 augustus 2016 16:37]

Mischien een aanrader om eens de documentaire "Zero Days" te gaan kijken - daarin wordt uit de doeken gedaan hoe de Natanz Uranium verrijkingsfabriek werd gesaboteerd via het welbekende Stuxnet. Erg interessant maar ook eng als je bedenkt hoe een geplande cyber aanval op vele fronten een compleet land in de war kan sturen (geen geld uit de muur, geen electriciteit, geen drinkwater.......)

In de docu komt naar voren hoe ze voor ieder obstakel wel een bak met exploits hebben liggen....

http://www.imdb.com/title/tt5446858/

[Reactie gewijzigd door The_Butler op 25 augustus 2016 12:05]

Het alternatief is plat gebombardeerd worden. Liever gehackt dan maar ;)
Het is natuurlijk logisch dat de westerse bedrijven gepwnde apparatuur aan Iran leveren. Die sukkels hadden beter Chinese apparatuur kunnen kopen.
De beste beveiliging is nog altijd om je PC los te trekken van het internet, hem in een kooi van Faraday te zetten samen met zijn eigen aggregaat :-)
Je vraagt er natuurlijk om als je op een firewall snmp toegang open laat staan voor de hele wereld...
wie zegt dat het SNMP pakket op de WAN-poort toekomt? Er staat in het artikel dat je al controle over het netwerk moet hebben, wat impliceert dat je aan den LAN kant bezig bent, en daar lijkt SNMP al veel logischer
Ook aan lan kant snmp volledig openzetten is niet handig, gewoon enkel openzetten voor devices die iets via snmp moeten doen.
En dan moet je toevallig die exploit op zo'n systeem krijgen ?
Wel heel veel toevalligheden.
En dat open en dichtzetten middels een device voor de asa. Anders vertrouw je alsnog op de firmware op de asa.
bedoel je nu te zeggen dat je een firewall voor een firewall moet zetten, omdat je de firmware van een firewall niet kunt vertrouwen?
Een 'aparte' beveiligings- (en afscheidings)laag op de management-poorten (en ipmi, iLo etc voor aanwezige servers) is nog niet zó vreemd als jij nu suggereert.
Hell, zoveel mogelijk afgescheiden houden van die poorten van je 'gewone' netwerk is sowieso al min of meer best practices 101 tegenwoordig.
gelaagdheid tussen je client netwerk, servernetwerk, management, Data, etc is inderdaad vrij normaal. Bij kleinere bedrijven misschien wat minder maar maar grote bedrijven is dat zeker het geval..

Waarbij het afhangt van de middelen en strategie of de scheiding op software of zelfs op hardware niveau gebeurt.

Maar een device om een poort open en dicht te zetten klonk mij nogal als een firewall.
of gewoon een fysieke rj45 plug in je rack. Valt soms nog best wat voor te zeggen :+
zo gek is het niet om meedere firewalls te hebben, zelfs achter elkaar en liefst van compleet verschillende leveranciers en gebaseerd op een andere technologie.
vergt wel een flinke investering, 2 verschillende firewalls.
Dan neem ik aan dat de firewall van het eerste merk redundant is, en dat het andere merk dan ook redundant is om single point of failures te voorkomen. Dan ook nog de koppelingen tussen deze 2 firewalls redundant uitvoeren.
Kruislings bekabelen is niet handig want redundante firewalls wil je ook in gescheiden locaties hebben (want je redundante internetlijn komt ook aan een andere kant van het pand binnen?). 2 redundante firewalls naast elkaar is ook weer een risico.

Er moet wel heel veel dingen goed geregeld worden om zo'n constructie meerwaarde te kunnen geven. Uiteindelijk is je firewall maar 1 laag in je security model. Buiten de allergrootste multinationals is het zeker rond het MKB veel verstandiger om deze investeringen te doen in andere lagen om op die manier je totale security te verhogen.

Het is misschien niet gek omdat het bij meerdere bedrijven gedaan wordt, maar je moet wel je hele infrastructuur op alle lagen goed beveiligd hebben voordat je de lagen zelf ook nog redundant gaat uitvoeren.
uiteraard spreken we dan over veel grotere omgevingen die over zeer strikte security-policies beschikken en niet wakker liggen van een paar duizenden euro meer tegen dit soort oplossingen te gooien om veilig te zitten.
Als financiėle instelling waar je potentieel miljoenen of miljarden kan verliezen is dit echter wel wenselijk. Een ander voorbeeld is een CA waarbij je zelfs helemaal failliet kan gaan omdat je niet meer betrouwbaar bent en alle klanten hun contracten opzeggen (zie diginotar :+ )

[Reactie gewijzigd door dasiro op 25 augustus 2016 16:58]

Ja dat klopt, multi-vendor. Maar goed zoals hieronder al gemeld: Ik ben grote omgevingen gewend, waar de impact wat groter is.

Het feit dat dit "lek" niet misbruikt kan worden als je snmp alleen gebruikt op je management interface (die dan hopelijk ook op andere manieren alleen toegankelijk is), blijft een zwak punt. Het is immers een en dezelfde software op de box. Alsof een vinkje waar je snmp open hebt staan onder water niet ook een (bewuste) gat heeft. Ik vind het naief, anderen zullen mij paranoia noemen.
Hmm dit is waar ik dus altijd schrik van heb gehad.

Als je een regering open poortjes laat bouwen (gewoon vermoeden) in de veiligheid van producten, dan zal dat vroeg of laat misbruikt worden door hackers of zelf andere regeringen voor spionage of ergere dingen...
En pataat, het is zo ver, dus een groupering Shadowbrokers (hackers weet ik niet) maar ze hebben wel de exploits ontdekt...
Stel je voor dat dit door "randsomeware criminelen" gebruikt word voor beveiligde systemen ook te infecteren...

Van veiligheid moet je afblijven ook als overheid!
Je kan nog altijd op de end devices afluister software zetten, het is ambetanter en meer werk, maar het hele security vertrouwen stort tenminste niet in elkaar.
Zonder vertrouwen in security, kan het internet niet meer bestaan zoals het nu bestaat, niemand zal nog vertrouwen hebben in clouddiensten, bank applicaties of communicatie via internet...

Dat wil toch niemand?

Enfin voor terug te komen naar dit specifiek geval, snmp hoort niet open te staan op internet, maar zelf als het niet open staat op internet, dan nog is het keigemakelijk om dit te misbruiken via een browser exploit die de snmp exploit gebruikt om dan het netwerk toch open te zetten van binnen uit...dus het blijft een grote bedreiging (snmp poort open op internet of niet)

[Reactie gewijzigd door sebastienbo op 25 augustus 2016 12:15]

als ze alle routers infecteren en alle switches in een netwerk van een bedrijf zoals microsoft, dan moeten al die routers vervagen worden, daarnaast ook ALLE andere hardware op muizen en toetsenborden schermen enzo na.

omdat die malware zich dan kan nestelen in de routers zo alle andere apparatuur besmetten, zich vervolgens nestelen op een random usb-drive
alles word vervangen, en die usb drive word dan opnieuw gebruikt door een nietsvermoedende werknemer, en boem het verhaal begint weer opnieuw
Laten we niet meteen naar conclusies springen:
The new SNMP flaw, described as EXTRABACON in the archive, uses a buffer overflow vulnerability in Cisco's ASA, PIX, and Firewall Services Module. In order to work, the target device has to be set up with the snmp-server enable command, the attacker must know the SNMP community string, and the devices are only vulnerable to IPv4 traffic. But once the exploit is successful, it would allow malware to be installed and all traffic monitored.
...

The EPICBANANA exploit can be used to bring down Cisco's Adaptive Security Appliance (ASA) Software (version 8.4.1 or earlier) using invalid commands, and then run code on the system.

Again, there are some caveats. The attacker must be locally authenticated on the system (for example by hacking one of the users) and also must know the telnet or SSH password for the software. However, once that's been achieved, typing in certain invalid commands will allow the exploit to work.
Standaard staat alles dicht op een Cisco device.
(de meeste) snmp is niet zo encrypted.
Volgens mij is het allemaal een theatersstukje. Volgens mij hebben ze die exploits er samen met de NSA er in gezet.
Cisco gaat 1000en FTE's ontslaan, genoeg voormalig engineers die een baan zoeken om NSA/GCHQ te helpen andere zerodays te vinden.
Verwachte datum software update voor de verschillende releases:

Cisco ASA Major Release First Fixed Release
7.2 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.0 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.1 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.2 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.3 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.4 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.5 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.6 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.7 ------------------------------ Affected; migrate to 9.1.7(9) or later
9.0 ------------------------------ 9.0.4(40) ETA 8/25/2016
9.1 ------------------------------ 9.1.7(9)
9.2 ------------------------------ 9.2.4(14) ETA 8/25/2016
9.3 ------------------------------ 9.3.3(10) ETA 8/26/2016
9.4 ------------------------------ 9.4.3(8 ) ETA 8/26/2016
9.5 ------------------------------ 9.5(3)
9.6 ------------------------------ 9.6.1(11) / FTD 6.0.1(2)

Sorry voor de brakke opmaak :/

[Reactie gewijzigd door -Colossalman- op 25 augustus 2016 14:43]

En wat als je kan upgraden? Dat is mijn verteld door de leverancier, dat wij al op de hoogst mogelijke versie zitten. ASA versie 8.2.(5)59
Toevallig een ASA met slechts 256 MB geheugen?
Ja, er zit 256MB in.
Vanaf versie 8.3 zijn de geheugen vereisten veranderd, dus met 256 MB in je ASA zit je inderdaad gebonden aan 8.2.(5)59 als laatste (interim) patch

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True