Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties
Submitter: TheSec

Een lek in Cisco-software leidt ertoe dat naar schatting meer dan 17.000 routers in Nederland getroffen kunnen worden. Het lek zit in IOS, Cisco IOS XE en Cisco IOS XR en kan leiden tot diefstal van gevoelige gegevens.

Het gaat om alle routers van Cisco die een kwetsbare variant van IOS, IOS XE en IOS XR draaien. Cisco heeft een lijst online gezet met welke softwareversies getroffen zijn. Updaten is de enige oplossing. Volgens de routermaker is er geen workaround om de apparatuur te beveiligen tegen het lek.

Het lek zit in de IKEv1-ondersteuning in de software. De software doet onvoldoende checks op binnenkomende udp-pakketten die beveiligingsverzoeken doen. Een aanvaller kan dat misbruiken door een gemanipuleerd pakket te sturen, die de router vervolgens blind accepteert. Daarna kan een aanvaller de inhoud van geheugen opvragen, wat ertoe kan leiden dat vertrouwelijke informatie lekt. Cisco raadt gebruikers aan om zo snel mogelijk te updaten. Volgens Shadowserver zijn er in Nederland 17.000 routers kwetsbaar, in België gaat dat om rond vijfduizend. Het is onbekend waar die routers precies staan; Shadowserver vergaart alleen ip-adressen van de apparaten.

Heatmap van kwetsbare routers

Moderatie-faq Wijzig weergave

Reacties (62)

Was wel even zoeken welke het precies om ging. Kwam eerst twee anderen tegen.

https://tools.cisco.com/s...cisco-sa-20151021-asa-ike
https://tools.cisco.com/s...cisco-sa-20160210-asa-ike
https://tools.cisco.com/s...y/cisco-sa-20160916-ikev1

Gaat dus om een exploit die al wat langer bestaat, en ook toegepast schijnt te zijn.
Meer informatie: Equation Group's BENIGNCERTAIN tool - a remote exploit to extract Cisco VPN private keys

[Reactie gewijzigd door RolfLobker op 21 september 2016 21:14]

Zou je mij ook kunnen vertellen voor een leek of mijn oude Cisco Small Business WRVS4400N in gevaar is?
Nee, die draait niet op Cisco IOS, geen paniek dus. ;)
Last Date of Support voor die router is trouwens 30 November 2017 dus je hebt nog dik een jaar om hem te vervangen :)
Super bedankt jullie!
Dat ding via V&A ooit op Tweakers, gewoon geweldig. Bedankt!
Volgens Cisco is de enige oplossing updaten indien de hardware (lees hogere ram eisen) het toelaat.
Maar hoe kan men de laatste Cisco software downloaden als dit vanaf de Cisco download portal
niet altijd is toegestaan?
Na het verlopen van de SMARTnet/SMARTcare support verloopt ook bijna altijd de mogelijkheid om de laatste software te downloaden.
Dit commercieel beleid vind ik gezien deze kwetsbaarheden zeer kwalijk.
Zoals op de gelinkte pagina staat (onder het kopje "Customers Without Service Contracts") kun je in dat geval contact opnemen met Cisco TAC om alsnog die update gratis te verkrijgen.


Customers who purchase directly from Cisco but do not hold a Cisco service contract and customers who make purchases through third-party vendors but are unsuccessful in obtaining fixed software through their point of sale should obtain upgrades by contacting the Cisco Technical Assistance Center (TAC): http://www.cisco.com/en/U...o_worldwide_contacts.html.

Customers should have the product serial number available and be prepared to provide the URL of this advisory as evidence of entitlement to a free upgrade.
Dank voor jouw post, maar alsnog vind ik de tegemoetkoming van Cisco zeer summier.
"Customers who purchase directly from Cisco" Naar mijn weten is het niet mogelijk om direct van Cisco hardware af te nemen en dient dit altijd via de officiële resellers te gaan.
De mensen die hun hardware via andere kanalen hebben gekocht/gekregen vallen hierdoor
buiten de boot en blijven dus kwetsbaar.
Lees nou ff een paar woorden verder :P ;)

Customers who purchase directly from Cisco but do not hold a Cisco service contract and customers who make purchases through third-party vendors but are unsuccessful in obtaining fixed software through their point of sale should obtain upgrades by contacting the Cisco Technical Assistance Center (TAC)

Idee is dus dat je eerst bij je verkoper gaat zeuren, en als die je niet kan of wil helpen, je de update alsnog van Cisco rechtstreeks kunt krijgen
En toch maken ze het je zo moeilijk. Je moet dat soort patches gewoon kunnen downloaden bij de fabrikant zonder zelfs in te loggen. Zelfde als HP, koop je 2e hands Proliants, kan je via newsservers en torrents je server qua HP service packs gaan updaten, lekker veilig.
HP spul is altijd vrij downloadbaar. cisco echter....
De laatste bios versies vanaf de G6 serie moet je je eerst voor registreren en dan mag je garantie nog niet voorbij zijn.

Je ziet het al als je browsed naar bijvoorbeeld Bios roms. ( entitlement required.

http://h20565.www2.hpe.co...swLangOid=8&swEnvOid=4168
Ik zie het. Vraag me af wanneer HP hiermee begonnen is want heb dat nooit eerder gezien.
Is al een jaartje of wat bezig.
alhoewel je schijnbaar door te zoeken op ftp://ftp.hp.com/pub/ ook nog alles zou moeten kunnen vinden geloof ik.
Tja en als je het daar helemaal gehad met de broken links en tig keer inloggen om die file bij een patchbeschrijving zonder positief resultaat te downloaden, gooi je de md5sum van het gezochte bestand in google en voila kun je wel weer verder.

Hp: ongerelateerde filenames (ilo patch benamingen bij model xyz besturingssystem abc), beschrijvingen die wel werken, maar click to download niet. Nee het is geen sinecure dat HP, eerder magische juju met tofifee.
Inderdaad erg onvriendelijk beleid. Ik gebruik privé wel eens cisco apparatuur, gebruikt, 2e hands gekocht. Het enige wat je als particulier kan is via schimmige russische/chinese forums op zoek gaan naar de juiste firmware, iets wat je eigenlijk wilt voorkomen. En drie dagen mailen met cisco representatives smekend om firmware, dat wil je ook niet...
Kwestie van even hash controleren als je de ios van de niet originele bron vandaan haalt.
Dat snappen de posters boven je ook wel. Het gaat erom dat het überhaupt moeilijk is om updates te krijgen.
En hoe zit het metde Cisco Ziggo kastjes?
Ook daar staat de commandline op en Ziggo gebruikt hun eigen interface, deze stond vroeger open en dan kon je alles aanpassen naar wens
En deze bug heeft helemaal niets met een commandline interface te maken.

Ik heb ook een computertje op me fiets!
Je bedoelt die modems? Die draaien geen IOS.
Modems/routers van cisco in upc/ziggo en co gebied draaien aangepaste linux versie.
Het is niet bekend waar de routers staan maar we kunnen wel een heatmap genereren met de locatie?

Volgens mij kan met een IP lookup best opgezocht worden welke ISP's / bedrijfsnetwerken kwetsbaar zijn en ook de locatie kan in de meeste gevallen redelijk accuraat bepaald worden..
Toch kun je er niet van op aan, zelfs met DNS lookup en andere tools kun je er niet van op aan dat hij de juiste locatie gegevens heeft.
Routers hebben over het algemeen geen GPS oid, dus als een Router geregistreerd staat in Amsterdam, kan hij best in Rotterdam, Groningen of zelfs in een ander land staan.
Klopt maar de informatie is blijkbaar betrouwbaar genoeg op dit soort grote aantallen dat er een heatmap van kan worden gemaakt. Dus een top 10 van meest kwetsbare netwerken / ISP's is dan ook te maken lijkt mij.
In een heatmap van duizenden devices mag wat foutmarge zitten. Als je ze 1 voor 1 op locatie wil identificeren is elke foutmarge ineens 100% fout, omdat je per device kijkt: het klopt of het klopt niet.
Hoe kun je de routers van Cisco identificeren op basis van IP-adres?
Het is onbekend waar die routers precies staan; Shadowserver vergaart alleen ip-adressen van de apparaten.
Staat in het artikel.

[Reactie gewijzigd door j-phone op 22 september 2016 00:40]

dat beantwoord niet de vraag natuurlijk, hoewel het voor jou misschien heel logisch is.

Ik denk dat Shadowserver Ikev1 paketjes heeft gestuurd en routers die antwoorden hebben een publieke IP. Daarmee heb je een soort geografische locatie die ongeveer klopt.
Ik had de afgelopen dagen die scans van Shadowserver al voorbij zien komen op mijn Ziggo modem.
Waar herkende je die aan?
De volgende melding stond in de log van mijn cisco modem: Bad IKE packet received 216.218.206.86
Zag hem ook al in mijn syslog langs komen.
Dit security probleem is alleen te misbruiken als IKEv1 SA negotiation requests worden verwerkt door een router. Heel veel routers zullen dat niet ingeschakeld hebben staan.
Als een bedrijf zegt dat het kwetsbaar is neem ik aan dat ze daarop geprobeerd hebben. Misschien zijn er wel veel meer Cisco routers die exposed op het internet staan maar niet kwetsbaar zijn.
HMM waarom zou je IKEv1 NIET op een router gebruiken? Je gebruikt het om een IPSEC VPN tunnel mee op te zetten neem ik aan. Zal je toch wat moeten routeren.
Heel veel routers gebruiken geen IPsec. Denk hierbij aan routers in datacenters, Die staan er voornamelijk om BGP sessies op te zetten en het verkeer te routeren tussen het datacenter en het internet.
Meestal implementeert cisco de protocollen op basis van afgeleide publieke code. Zijn checkpoint, fortinet, etc ook geraakt ?
Dat gaat een drukke dag worden morgen :'(
Vergeet de high-severity update van OpenSSL niet.

[Reactie gewijzigd door cbravo2 op 21 september 2016 22:10]

Met Cisco weet je tenminste één ding zeker en dat is dat de NSA altijd een backdoor heeft ;)
Deze 'fout' is mede ontwikkeld door de NSA /. GCHQ vermoed ik. Maar goed, over een tijdje wordt er weer een andere fout ontdekt want IOS omvat miljoenen regels code. Het is natuurlijk vrij makkelijk om daar een 'foutje' in te stoppen.

Van open-source software komen vrijwel wekelijks patches voor fouten. Voor Cisco zijn er maar relatief weinig security updates.

De oplossing is om geen Cisco of Juniper meer te kopen maar gewoon open-source routers gebruiken.

[Reactie gewijzigd door ArtGod op 21 september 2016 20:48]

Nog beter Amerika boycotten en hun bedrijven zolang dit soort praktijken de maatstaaf zijn. Maar wij als Europa zijn toch al het schoothondje van het kapitalistisch gedrocht de Verenigde Satan (niet te serieus nemen aub).
Laten we dan ook maar gelijk Aziatische bedrijven boycotten en ook de Afrikaanse. Alhoewel; de Europese overheden beginnen inmiddels ook al we totalitaire dictaturen met Stasi machtige trekjes te worden.... Laten we dus alles maar helemaal gaan boycotten!
(Nou ik het zo opschrijf lijkt me dat serieus de enige écht veilige optie...)
En weet jij zeker dat je snachts al slaapwandelend geen rare dingen doet....dus ook jezelf boycotten.
DHS sinds 2001 in cohort met NSA riepen decennia lang dat China en Rusland hun hardware werd ge-embed met hardware level afluister mogelijkheden beter bekend als een backdoor. Na de Snowden lekken bleek echter dat de NSA dit op industriële niveau had toegepast. In een committee in congress in een vrij onbekend debat gaf men toe tegenover senatoren dat men nooit bewijs heeft gevonden dat de apparatuur die naar Amerika gaat door de Russen en Chinezen ook daadwerkelijk wordt gebackdoored door Chinese veiligheidsdiensten dan wel de FSB.

Resultaat? Alle US producten worden dmv Patriot Act geforceerd om backdoors te installeren zowel hardware matig dan wel firmware/software matig. De servers die de US verlaten worden allemaal op lopende band gekraakt voor de veiligheidsdiensten.

Wie is er hier nou de hypocriet? 8)7 Van je bondgenoten moet je het maar hebben. Volgens de US wet hebben niet amerikaanse burgers geen enkele rechten.

Wij kopen hier geen enkel US tech product meer. Geen vertrouwen in en zullen ze ook niet krijgen zolang ze hun wetgeving niet fors gaan aanpassen. Het moet maar eens afgelopen zijn met doen alsof dit niet realiteit is.

Het spreekt voor zich; NSA ontwikkelde kwetsbaarheden die door een subcontractor werd ontwikkeld en die geforceerd is op de producten van bedrijven en is nu publieke kennis geworden. Het wordt nu massaal door kwaadwillenden gebruikt.

[Reactie gewijzigd door Lennart-IT op 21 september 2016 22:39]

Jammer dat je -1 krijgt want het is gewoon grotendeels waar en bewezen... Google maar op "cisco nsa backdoor".
Ja maar dat kan voor alle Amerikaanse bedrijven gelden. Daarom begint het ook zo'n enge wereld te worden. Je weet niet meer wie of wat je kunt vertrouwen. En open-source lijkt dan leuk maar vaak zit dat ook vol met bugs en de code wordt ook niet goed nagekeken. De NSA heeft bijna voor alles een backdoor of zero-day vrees ik.
Tweakers gebruikt ook Cisco apparatuur en heeft via die backdoor zijn post op -1 gezet. Wat een sneaky bastards.
Of op nep cisco's (chinese knockoffs met ditto redwall backdoors)
Op welke openstaande poort breken ze in met deze exploit?
Zodra je ipsec vpn met ikev1 gebruikt op internet als ik het zo even snel lees.

UDP500 dus.
Udp 500 of 4500 (by default)
Let wel op dat het sluiten van deze poorten niet persé een oplossing is; zie ook de advisories van cisco zelf (links hierboven) en de info over valide gebruik van ikev1


Om te kunnen reageren moet je ingelogd zijn



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True