Cisco brengt patches uit voor kwetsbaarheden gebruikt in NSA-exploits

Cisco heeft patches uitgebracht voor kwetsbaarheden in zijn ASA-firewalls. Deze kwamen aan het licht door de publicatie van verschillende exploits door een groep met de naam Shadowbrokers. De exploits zijn afkomstig van de Amerikaanse NSA.

In een update van een eerder bericht schrijft Cisco dat het begonnen is met het uitbrengen van patches voor de zogenaamde ExtraBacon-exploit. De kwetsbaarheid met kenmerk cve-2016-6366 maakte het voor een aanvaller mogelijk om via een speciaal snmp-pakket de controle te verkrijgen over een ASA-firewall. Daarbij moet de aanvaller al wel controle hebben over het netwerk, legde een Cisco medewerker eerder aan Threatpost uit.

In eerste instantie leek de exploit alleen te werken op versies 8.4(4) en lager van de firewallsoftware. Deze week kwam het Hongaarse beveiligingsbedrijf Silent Signal er echter achter dat ExtraBacon eenvoudig is aan te passen om ook op nieuwere versies van de software toegepast te worden. Het bedrijf was in staat om de exploit werkend te krijgen tot versie 9.2(4) van de software, waardoor een groter aantal ASA-firewalls kwetsbaar bleek te zijn. Silent Signal zegt donderdag nog geen nieuwere versies van de exploit vrij te geven zolang er nog geen patches beschikbaar zijn. Cisco heeft een tijdslijn gepubliceerd voor de te verwachten patches, waarbij de meeste updates deze week staan gepland.

De exploits, waaronder ExtraBacon, kwamen begin vorige week aan het licht toen de Shadowbrokers een bericht op GitHub plaatsen. Daarin claimden zij dat de exploits afkomstig waren van de Equation Group, die gelinkt is aan de NSA. De groepering kondigde ook aan om 'nog betere software' via een veiling aan te bieden. Tot nu toe is daarover echter niet opnieuw gecommuniceerd en is er slechts iets minder dan 900 euro overgemaakt naar het opgegeven bitcoinadres. De exploits zijn geschreven voor apparatuur van onder andere Cisco, Fortinet en Juniper. Een deel van deze bedrijven publiceerde onlangs een waarschuwing over de Shadowbrokers-bestanden.

IT-banen

Reacties (49)

niels95 25 augustus 2016 11:43

Die hadden ze natuurlijk alvast klaarliggen....
De NSA heeft gewoon SLA's met betreffende bedrijven voor dit soort exploits. is allemaal ingeregeld.

exploit is ontdekt -> er gaat een standaard protocol in werking -> de volgende exploit ligt alweer klaar. -> cisco bied excusses aan, en de wereld gaat vrolijk verder.

[Reactie gewijzigd door niels95 op 25 juli 2024 14:23]

raro007 @niels95 • 25 augustus 2016 11:48

Je krijgt -1 maar dat gevoel heb ik langzamerhand ook .

The Zep Man

Netwerk en systeembeheer
Security

@niels95 • 25 augustus 2016 11:48

De NSA heeft gewoon SLA's met betreffende bedrijven voor dit soort exploits. is allemaal ingeregeld.

Een SLA is een paper trail. Paper trails hebben de neiging om aan het licht te komen.

Als het de NSA zou zijn, dan zou ik eerder een 'inside job' verwachten. Niet per se een NSA medewerker, maar bijvoorbeeld iemand die onder druk wordt gezet of die denkt dat hij het goede doet.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 14:23]

Cornelisjuh @niels95 • 25 augustus 2016 11:51

Niets mis met een gezonde hoeveelheid paranoïa in deze tijd. Na alles wat aan het licht is gekomen de afgelopen jaren en alles wat ongetwijfeld nog verborgen is, sta ik nergens meer van te kijken.

bbc @niels95 • 25 augustus 2016 12:06

Dat is zoals Volkswagen die zegt dat 1 medewerker op eigen houtje gehandeld heeft om die sjoemel modules te laten installeren in hun wagens. Zo een overeenkomsten hebben nu eenmaal de neiging om te lekken door ontevreden werknemers of op een andere manier.

Ik vermoed dat de NSA, door de complexiteit van de software wel meerdere werkende exploits heeft en een bedrijf er niet expliciet van moet weerhouden om dingen te patchen.

Frozenstorm @niels95 • 25 augustus 2016 13:43

Wellicht doel je op dit artikel uit 2015

Anoniem: 636203 @niels95 • 25 augustus 2016 14:01

Cisco kan dit allemaal makkelijk omzeilen door alleen digitaal getekende binaries te accepteren op hun apparatuur als deze wordt geupgrade. Dat doen ze niet dus vermoed ik dat ze meewerken met de NSA.

blorf 25 augustus 2016 11:47

Ik vraag me af of we er ooit achter gaan komen of dit allemaal echt is. Voor hetzelfde geld is het allemaal doorgestoken kaart om de wereld in de waan te laten dat dergelijke hardware nog betrouwbaar is.

fantafriday @blorf • 25 augustus 2016 12:06

Als je SNMP naar de wereld open zet zou ik me toch eerder afvragen of mijn netwerkbeheerder betrouwbaar is.

mgizmo @fantafriday • 25 augustus 2016 13:08

En waar zet je dat open in jouw optiek?

fantafriday @mgizmo • 25 augustus 2016 13:42

Naar je eigen IP('s) in plaats van alle IP's op aarde.

mgizmo @fantafriday • 25 augustus 2016 13:56

Binnen de asa bedoel je dan en/of een firewall er voor?

fantafriday @mgizmo • 25 augustus 2016 14:13

De asa zelf. Ervoor kan natuurlijk ook.

mgizmo @fantafriday • 25 augustus 2016 14:28

Dat betekent dus dat je vertrouwd op de firmware wat betreft het eerste antwoord.

analog_ @mgizmo • 25 augustus 2016 19:15

Dan koop je die Cisco niet in the first place met zon redenatie.

mgizmo @analog_ • 26 augustus 2016 10:41

Dat geldt bij iedere vendor. Markt heeft dermate een klap opgeleverd, dat er organisaties zijn daar ook rekening mee houden.

analog_ @mgizmo • 26 augustus 2016 19:25

Hoe overtuigt een vendor een koper dan van zijn onafhankelijkheid en security? Even slecht lijkt me?

Anoniem: 636203 @blorf • 25 augustus 2016 13:56

Ik vermoed dat voor deze gepatchde exploit de NSA er nog tien anderen heeft, misschien wel ernstiger die via de WAN poort (internet) benaderbaar zijn. En met medeweten en instemming van Cisco ontwikkeld.

Zou mij niet verbazen dat er plotseling meerdere patches uitkomen voor Cisco routers / switches omdat de NSA zich realiseert dat Shadow Brokers ook toegang hebben tot die exploits.

[Reactie gewijzigd door Anoniem: 636203 op 25 juli 2024 14:23]

The_Butler 25 augustus 2016 12:04

Mischien een aanrader om eens de documentaire "Zero Days" te gaan kijken - daarin wordt uit de doeken gedaan hoe de Natanz Uranium verrijkingsfabriek werd gesaboteerd via het welbekende Stuxnet. Erg interessant maar ook eng als je bedenkt hoe een geplande cyber aanval op vele fronten een compleet land in de war kan sturen (geen geld uit de muur, geen electriciteit, geen drinkwater.......)

In de docu komt naar voren hoe ze voor ieder obstakel wel een bak met exploits hebben liggen....

http://www.imdb.com/title/tt5446858/

[Reactie gewijzigd door The_Butler op 25 juli 2024 14:23]

Delta Elton @The_Butler • 25 augustus 2016 12:10

Het alternatief is plat gebombardeerd worden. Liever gehackt dan maar

Anoniem: 636203 @The_Butler • 25 augustus 2016 13:58

Het is natuurlijk logisch dat de westerse bedrijven gepwnde apparatuur aan Iran leveren. Die sukkels hadden beter Chinese apparatuur kunnen kopen.

ronboy30 @The_Butler • 25 augustus 2016 12:10

De beste beveiliging is nog altijd om je PC los te trekken van het internet, hem in een kooi van Faraday te zetten samen met zijn eigen aggregaat :-)

Anoniem: 636203 @ronboy30 • 25 augustus 2016 16:37

Of Linux gebruiken

DDX 25 augustus 2016 11:48

Je vraagt er natuurlijk om als je op een firewall snmp toegang open laat staan voor de hele wereld...

dasiro @DDX • 25 augustus 2016 12:37

wie zegt dat het SNMP pakket op de WAN-poort toekomt? Er staat in het artikel dat je al controle over het netwerk moet hebben, wat impliceert dat je aan den LAN kant bezig bent, en daar lijkt SNMP al veel logischer

DDX @dasiro • 25 augustus 2016 12:44

Ook aan lan kant snmp volledig openzetten is niet handig, gewoon enkel openzetten voor devices die iets via snmp moeten doen.
En dan moet je toevallig die exploit op zo'n systeem krijgen ?
Wel heel veel toevalligheden.

mgizmo @DDX • 25 augustus 2016 13:07

En dat open en dichtzetten middels een device voor de asa. Anders vertrouw je alsnog op de firmware op de asa.

Amasik @mgizmo • 25 augustus 2016 15:04

bedoel je nu te zeggen dat je een firewall voor een firewall moet zetten, omdat je de firmware van een firewall niet kunt vertrouwen?

iceheart @Amasik • 25 augustus 2016 15:32

Een 'aparte' beveiligings- (en afscheidings)laag op de management-poorten (en ipmi, iLo etc voor aanwezige servers) is nog niet zó vreemd als jij nu suggereert.
Hell, zoveel mogelijk afgescheiden houden van die poorten van je 'gewone' netwerk is sowieso al min of meer best practices 101 tegenwoordig.

Amasik @iceheart • 25 augustus 2016 15:43

gelaagdheid tussen je client netwerk, servernetwerk, management, Data, etc is inderdaad vrij normaal. Bij kleinere bedrijven misschien wat minder maar maar grote bedrijven is dat zeker het geval..

Waarbij het afhangt van de middelen en strategie of de scheiding op software of zelfs op hardware niveau gebeurt.

Maar een device om een poort open en dicht te zetten klonk mij nogal als een firewall.

iceheart @Amasik • 25 augustus 2016 18:30

of gewoon een fysieke rj45 plug in je rack. Valt soms nog best wat voor te zeggen

dasiro @Amasik • 25 augustus 2016 15:47

zo gek is het niet om meedere firewalls te hebben, zelfs achter elkaar en liefst van compleet verschillende leveranciers en gebaseerd op een andere technologie.

Amasik @dasiro • 25 augustus 2016 16:23

vergt wel een flinke investering, 2 verschillende firewalls.
Dan neem ik aan dat de firewall van het eerste merk redundant is, en dat het andere merk dan ook redundant is om single point of failures te voorkomen. Dan ook nog de koppelingen tussen deze 2 firewalls redundant uitvoeren.
Kruislings bekabelen is niet handig want redundante firewalls wil je ook in gescheiden locaties hebben (want je redundante internetlijn komt ook aan een andere kant van het pand binnen?). 2 redundante firewalls naast elkaar is ook weer een risico.

Er moet wel heel veel dingen goed geregeld worden om zo'n constructie meerwaarde te kunnen geven. Uiteindelijk is je firewall maar 1 laag in je security model. Buiten de allergrootste multinationals is het zeker rond het MKB veel verstandiger om deze investeringen te doen in andere lagen om op die manier je totale security te verhogen.

Het is misschien niet gek omdat het bij meerdere bedrijven gedaan wordt, maar je moet wel je hele infrastructuur op alle lagen goed beveiligd hebben voordat je de lagen zelf ook nog redundant gaat uitvoeren.

dasiro @Amasik • 25 augustus 2016 16:58

uiteraard spreken we dan over veel grotere omgevingen die over zeer strikte security-policies beschikken en niet wakker liggen van een paar duizenden euro meer tegen dit soort oplossingen te gooien om veilig te zitten.
Als financiële instelling waar je potentieel miljoenen of miljarden kan verliezen is dit echter wel wenselijk. Een ander voorbeeld is een CA waarbij je zelfs helemaal failliet kan gaan omdat je niet meer betrouwbaar bent en alle klanten hun contracten opzeggen (zie diginotar

)

[Reactie gewijzigd door dasiro op 25 juli 2024 14:23]

mgizmo @Amasik • 26 augustus 2016 08:21

Ja dat klopt, multi-vendor. Maar goed zoals hieronder al gemeld: Ik ben grote omgevingen gewend, waar de impact wat groter is.

Het feit dat dit "lek" niet misbruikt kan worden als je snmp alleen gebruikt op je management interface (die dan hopelijk ook op andere manieren alleen toegankelijk is), blijft een zwak punt. Het is immers een en dezelfde software op de box. Alsof een vinkje waar je snmp open hebt staan onder water niet ook een (bewuste) gat heeft. Ik vind het naief, anderen zullen mij paranoia noemen.

sebastienbo @DDX • 25 augustus 2016 12:02

Hmm dit is waar ik dus altijd schrik van heb gehad.

Als je een regering open poortjes laat bouwen (gewoon vermoeden) in de veiligheid van producten, dan zal dat vroeg of laat misbruikt worden door hackers of zelf andere regeringen voor spionage of ergere dingen...
En pataat, het is zo ver, dus een groupering Shadowbrokers (hackers weet ik niet) maar ze hebben wel de exploits ontdekt...
Stel je voor dat dit door "randsomeware criminelen" gebruikt word voor beveiligde systemen ook te infecteren...

Van veiligheid moet je afblijven ook als overheid!
Je kan nog altijd op de end devices afluister software zetten, het is ambetanter en meer werk, maar het hele security vertrouwen stort tenminste niet in elkaar.
Zonder vertrouwen in security, kan het internet niet meer bestaan zoals het nu bestaat, niemand zal nog vertrouwen hebben in clouddiensten, bank applicaties of communicatie via internet...

Dat wil toch niemand?

Enfin voor terug te komen naar dit specifiek geval, snmp hoort niet open te staan op internet, maar zelf als het niet open staat op internet, dan nog is het keigemakelijk om dit te misbruiken via een browser exploit die de snmp exploit gebruikt om dan het netwerk toch open te zetten van binnen uit...dus het blijft een grote bedreiging (snmp poort open op internet of niet)

[Reactie gewijzigd door sebastienbo op 25 juli 2024 14:23]

darknessblade @sebastienbo • 25 augustus 2016 12:37

als ze alle routers infecteren en alle switches in een netwerk van een bedrijf zoals microsoft, dan moeten al die routers vervagen worden, daarnaast ook ALLE andere hardware op muizen en toetsenborden schermen enzo na.

omdat die malware zich dan kan nestelen in de routers zo alle andere apparatuur besmetten, zich vervolgens nestelen op een random usb-drive
alles word vervangen, en die usb drive word dan opnieuw gebruikt door een nietsvermoedende werknemer, en boem het verhaal begint weer opnieuw

z1rconium @DDX • 25 augustus 2016 13:00

Laten we niet meteen naar conclusies springen:

The new SNMP flaw, described as EXTRABACON in the archive, uses a buffer overflow vulnerability in Cisco's ASA, PIX, and Firewall Services Module. In order to work, the target device has to be set up with the snmp-server enable command, the attacker must know the SNMP community string, and the devices are only vulnerable to IPv4 traffic. But once the exploit is successful, it would allow malware to be installed and all traffic monitored.
...

The EPICBANANA exploit can be used to bring down Cisco's Adaptive Security Appliance (ASA) Software (version 8.4.1 or earlier) using invalid commands, and then run code on the system.

Again, there are some caveats. The attacker must be locally authenticated on the system (for example by hacking one of the users) and also must know the telnet or SSH password for the software. However, once that's been achieved, typing in certain invalid commands will allow the exploit to work.

Standaard staat alles dicht op een Cisco device.

analog_ @z1rconium • 25 augustus 2016 19:13

(de meeste) snmp is niet zo encrypted.

Anoniem: 636203 @DDX • 25 augustus 2016 12:11

Volgens mij is het allemaal een theatersstukje. Volgens mij hebben ze die exploits er samen met de NSA er in gezet.

Anoniem: 428562 25 augustus 2016 14:03

Cisco gaat 1000en FTE's ontslaan, genoeg voormalig engineers die een baan zoeken om NSA/GCHQ te helpen andere zerodays te vinden.

-Colossalman- 25 augustus 2016 14:41

Verwachte datum software update voor de verschillende releases:

Cisco ASA Major Release First Fixed Release
7.2 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.0 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.1 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.2 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.3 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.4 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.5 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.6 ------------------------------ Affected; migrate to 9.1.7(9) or later
8.7 ------------------------------ Affected; migrate to 9.1.7(9) or later
9.0 ------------------------------ 9.0.4(40) ETA 8/25/2016
9.1 ------------------------------ 9.1.7(9)
9.2 ------------------------------ 9.2.4(14) ETA 8/25/2016
9.3 ------------------------------ 9.3.3(10) ETA 8/26/2016
9.4 ------------------------------ 9.4.3(8 ) ETA 8/26/2016
9.5 ------------------------------ 9.5(3)
9.6 ------------------------------ 9.6.1(11) / FTD 6.0.1(2)

Sorry voor de brakke opmaak