Cisco repareert kritieke kwetsbaarheid in software van Nexus 9000-switch

Cisco heeft een update uitgebracht die een kritieke kwetsbaarheid in de Nexus 9000 Series-switches dicht. Met deze kwetsbaarheid was het mogelijk om als indringer op afstand toegang te verkrijgen tot de switch en over dezelfde rechten als de root user te beschikken.

Volgens Cisco maakte een kwetsbaarheid in de secure shell key het voor indringers mogelijk om van een afstand te verbinden met een systeem. Deze indringer zou dan over dezelfde rechten beschikken als de root user. De kwetsbaarheid betreft de aanwezigheid van een standaard ssh-sleutelpaar in alle apparaten. Een aanvaller kon met deze sleutels via ipv6 een ssh-verbinding openen naar een Nexus 9000-apparaat. Een aanval over ipv4 zou volgens Cisco niet werken.

Cisco noemt de kwetsbaarheid 'kritiek' en heeft het een score op basis van het Common Vulnerability Scoring System van 9,8 op een schaal tot 10 gegeven. Gebruikers van de netwerkapparatuur wordt aangeraden om de gratis software-update 14.1 (1i) te downloaden en te installeren. Volgens Cisco zijn er geen alternatieven om zonder een update deze kwetsbaarheid te verhelpen. Alleen switches die in de Application Centric Infrastructure-modus werken zijn volgens Cisco kwetsbaar voor een mogelijke aanval.

Het Amerikaanse bedrijf zegt dat het lek voor zover bekend eerder niet publiekelijk bekend is gemaakt en dat het niet is misbruikt. Vinder van de kwetsbaarheid is Oliver Matula van het Duitse ERNW. Het Britse The Register stelt dat kwaadwillenden met dit lek gebruikers hadden kunnen bespioneren.

Door Hayte Hugo

Redacteur

Feedback • 02-05-2019 14:23
60 • submitter: Freeaqingme

02-05-2019 • 14:23

60 Linkedin

Submitter: Freeaqingme

Lees meer

Cisco Nexus 93180YC-EX

vanaf € 14.335

Alles over dit product

Kritieke kwetsbaarheden treffen 'miljoenen' Aruba- en Avaya-switches Nieuws van 3 mei 2022
Cisco waarschuwt voor kwetsbaarheid via defaultwachtwoord op ENCS- en CSP-router Nieuws van 24 augustus 2020
F-Secure waarschuwt voor gevaren van nagemaakte Cisco-switches Nieuws van 16 juli 2020
Onderzoekers vinden vijf grote kwetsbaarheden in Cisco Discovery Protocol Nieuws van 7 februari 2020
Miljoenen Cisco-routers zijn kwetsbaar voor aanhoudend uitschakelen Trust Anchor Nieuws van 14 mei 2019
Cisco wil beveiligingsbedrijf Duo Security overnemen voor 2,35 miljard dollar Nieuws van 2 augustus 2018
Onderzoekers vinden twintig kwetsbaarheden in SmartThings Hub van Samsung Nieuws van 26 juli 2018
Gerucht: Amazon overweegt eigen netwerkswitches te verkopen Nieuws van 16 juli 2018
Gebruikers kunnen malware van router halen na inbeslagname c&c-server door FBI Nieuws van 24 mei 2018
Meer producten en artikelen
Netwerk switches Cisco Nexus Criminaliteit Crimineel Update

Reacties (60)

-Moderatie-faq
60
60
26
6
0
15
Wijzig sortering
JapyDooge
2 mei 2019 14:25
De kwetsbaarheid betreft de aanwezigheid van een standaard ssh-sleutelpaar in alle apparaten.
Oftewel, een backdoor ;)
Anoniem: 120539
@JapyDooge2 mei 2019 14:39
Inderdaad. Als zoiets in Chinese apparatuur had gezeten zouden er Kamervragen worden gesteld.
Zie ook alle rumoer rond de ontdekking van de beschrijving van een al enkele jaren opgelost probleem bij Huawei hardware enkele dagen geleden.
Nu krijgt Cisco een compliment omdat er een kritiek lek wordt gepatched.
Caseum
@Anoniem: 1205392 mei 2019 16:01
Precies dit ja.
Ik zat met precies hetzelfde in mn hoofd.
Ik geloof best dat alle grote bedrijven wel een backdoor hebben.

Maar gek dat Amerika het wel mag en China niet.
batjes
@Caseum2 mei 2019 17:50
Amerika is, hoe gek het ook mag klinken. Een bontgenoot. 1 waar we al sinds hun bestaan bevriend mee zijn. Deels omdat we ze daar mee geholpen hebben (om de Engelsen te kakken te nemen, meer niet eigenlijk). Een band die honderden jaren terug gaat.

China daarentegen, alles behalve.

Het lijkt me meer een soort protectionisme tegen China die wel onze economie aan het slopen is door onze markten te vloeden met onder-kostprijs producten. En dat China gezien wordt als land vol hackers op het internet, is ook echt niet ongegrond. Dat we als het westen een beetje onze achtergelaten puinhopen in o.a. Afrika op proberen te ruimen in een paar regios al compleet teniet wordt gedaan door het uitbuiten van China in deze regios.

China is een geopolitieke tegenstander. Waar we wel -vrij hypocriet- maar al te graag misbruik van maken als het ons uitkomt.

Van zo'n land wil je geen apparatuur in je kritieke netwerken hebben. De VS heeft zijn streken, maar is op de lange termijn blijkbaar goed te vertrouwen. Desalniettemin, eigen Europees spul heeft daar voor hoe dan ook de voorkeur, maar goed. Wij zijn nog te verdeeld.

[Reactie gewijzigd door batjes op 2 mei 2019 17:51]

Fijinees
@batjes3 mei 2019 00:38
Op lange termijn is niemand te vertrouwen.

De VS is ook op korte termijn niet te vertrouwen als je niet doet wat zij willen. Zie Zuid en Midden-Amerika, Iran voor de Sjah en veel andere landen.

Staatsgrepen gepleegd met hulp van de VS, wapens daar vandaan en andere minder frisse zaken.

Panisch voor socialisme, dus daar worden moorden voor gepleegd, verdragen worden verbroken.

China onderdrukt en moord, maar de VS is geen haar beter in ik vertrouw ze totaal niet.
batjes
@Fijinees3 mei 2019 08:05
Ja klopt want die landen waren goede bondgenoten van de VS. Oh wacht.
burne
@batjes3 mei 2019 11:12
Osama bin Laden was in opdracht en met financiële steun van de CIA bezig in Afghanistan. Iran kreeg z'n revolutie nadat Amerika tientallen jaren lang een wrede dictator in het zadel had gehouden. Na de Iraanse Revolutie huurde Amerika Irak in voor een oorlog. Saddam Hussein kreeg geld en technologie en wapens van Amerika, en Amerika liet Duitsland de fabriek leveren waarmee Hussein chemische wapens produceerde. Daarom was Amerika zo overtuigd van de wapenvoorraden: ze hadden ze zelf geleverd en de bonnetjes bewaard.

Dus ja: de grote tegenstanders van Amerika zijn voormalig bondgenoten die door Amerika verraden zijn.
batjes
@burne3 mei 2019 18:19
Osama Bin Laden als bondgenoot van de VS zien? Ze hebben die kerel en zijn organisatie proberen te misbruiken richting de Russen, wat uiteindelijk enorm in hun gezicht is opgeblazen. Iraq is een topic op zichzelf waardig, lastig verhaal. Tevens geen bondgenoot. Geallieerd zijn met is toch anders.

Het middenoosten is een geopolitieke strijd geweest tussen het kapitalisme en communisme met een westers koloniserend verleden. Een opstapeling van conflicten die tot meer dan 3000 jaar terug te leiden is. 1 partij daar de schuld van geven is idioot.

We zijn niet zulke goede vriendjes met de VS als bv Engeland (dat zijn echt geopolitieke buttbuddies, wat wij meer hebben met Duitsland). Maar we staan wel vrij hoog op dat lijstje van beste vriendjes van de VS. En hun hoog op de onze. Ondanks alle bullshit.
mbbs1024
@batjes3 mei 2019 14:32
En daarom hebben de geheime diensten van UK en US een paar jaar geleden de Nationale Telecom operator Belgacom gehackt, omdat het zo een goede vrienden zijn ?
Met zulke goede vrienden heb je geen vijanden meer nodig.
Ieder land dat niet mooi aan de leiband van de VS loopt riskeert economische sabotage, ontwrichtende akties door de CIA, vermoorden van politieke leiders, bombardementen en militaire invallen.
batjes
@mbbs10243 mei 2019 18:06
Jij denkt dat wij onze bondgenoten niet hacken en bespioneren? We zijn er groot mee geworden ;)

Gebeurt onderling ook, maar er zijn daar toch, tja, grenzen. Afluisteren oké, beïnvloeden weer niet. Maar elk land/natie is in dat opzicht egocentrisch. Wij maken ook economisch misbruik van onze illegaal opgedane kennis.

De volgende oorlog waar we echt als land in verzeilt raken zal de derde wereld oorlog zijn, en die zal niet tegen de VS gestreden worden. Dit is een beetje waarom het bespioneer vanuit landen als Rusland of China, toch wat erger is en meer als serieuze dreiging wordt gezien. Want die 2 zullen aan de andere kant staan.
Koffiebarbaar
@JapyDooge2 mei 2019 14:27
Je maakt het een beetje luchtig maar hoe je per ongeluk zo'n sleutelpaar in de switch laat zitten is me echt een raadsel.
Riekt inderdaad naar een opzettelijk ongelukje.

[Reactie gewijzigd door Koffiebarbaar op 2 mei 2019 14:27]

JapyDooge
@Koffiebarbaar2 mei 2019 14:30
In veel gevallen hebben fabrikanten sowieso backdoors, sommige ook voor opsporingsdiensten enzo.

Dat is helaas gebruikelijk, de grote fout lijkt hier te zijn dat het gaat om een sleutelpaar.
Bij een normale SSH-verbinding is aan de serverkant (in dit geval de switch) enkel de public key bekend, en staat deze in een lijstje met toegestane keys (zoals de known_hosts file).
Bij een volledig sleutelpaar zou het mogelijk moeten zijn de private key in de switch-firmware te vinden, en deze dus te misbruiken op alle switches met deze firmware (en mogelijk ook eerdere).

Inderdaad enorm slordig.
Loggedinasroot
@JapyDooge2 mei 2019 14:54
Volgens Cisco zijn er geen alternatieven om zonder een update deze kwetsbaarheid te verhelpen.
Wel erg gek om zo'n key hardcoded in je device te hebben waar je zelf geen controle over hebt.
Flamesz
@Loggedinasroot2 mei 2019 15:03
Cisco staat bekend als 's werelds grootste leverancier van hardcoded passwords.
dehardstyler
@Loggedinasroot2 mei 2019 14:58
Als de NSA er maar controle over heeft is het goed. Daar kunnen we gewoon niet meer omheen. Er zijn sinds 2012 zo gigantische veel hardcoded keys / wachtwoorden gevonden ( aka backdoors ), dat de NSA hier wel achter moet zitten.
gjmi
@dehardstyler2 mei 2019 16:05
Pfff, NSA?
Als ik zie hoe slordig programmeurs soms zijn... voor het gemak dingen toevoegen (lekker makkelijk bij ontwikkeling en testen), en dan vergeten te verwijderen.
batjes
@gjmi2 mei 2019 17:42
De overheidsdiensten hoeven echt niet te verplichten dat er backdoors geplaatst worden. Men lijkt niet te beseffen dat software (en hardware) 1 grote security gatenkaas is. Het is echt bizar hoe veel fouten en dat soort simpele quickfixjes productie omgevingen bereiken. Het is bijna alsof het mensenwerk is. Het voordeel is wel dat deze exploits/foutjes voornamelijk doelgericht ingezet worden.

Software (en hardware) zit echt vol security gaten. Ze zoeken hun eigen backdoors wel en komen deze wel melden als ze de exploits/bugs door een tegenpartij gebruikt zien worden of hackers het exploiteren.

Eigenlijk op poster boven je bedoelt, oeps

[Reactie gewijzigd door batjes op 2 mei 2019 17:43]

Rolfie
@dehardstyler3 mei 2019 00:48
Heb je hier ook enig bewijs voor? Afgezien je eigen conclusie die je maakt hebt? Persoonlijk denk.ik dat de kans van slordigheid veel groter namelijk is.
dehardstyler
@Rolfie3 mei 2019 09:53
Uiteraard: https://www.infoworld.com...rs-in-cisco-products.html

Dat is een artikel uit 2014. Denk jij dat ze er daarna direct mee gestopt zijn? Ik mag hopen dat je niet zo naïef bent. ;)

Ze hebben inmiddels in alle soorten Cisco producten wel een hardcoded backdoor gevonden ( die door verschillende afdelingen binnen Cisco ontwikkeld worden ), zelfs een paar die rechten hadden boven administrator level. Dus zelfs als administrator kun je daar niet bij komen, het is een aparte omgeving. ( Ik ben de bron nog aan het zoeken voor je )
Je ontwikkeld niet per ongeluk een omgeving boven administrator en die hoef je ook niet te ontwikkelen om te testen of iets dergelijks, want je kan alles al testen met het hoogste administrator level.


edit: ook @batjes

edit2: "Grappig" ook dat bij Juniper hetzelfde gebeurd is: https://www.theregister.c...er_hardcoded_credentials/

Toevallig.

[Reactie gewijzigd door dehardstyler op 3 mei 2019 10:16]

MrFax
@JapyDooge2 mei 2019 20:54
Alleen dit soort softwarematige backdoors kan je met custom firmware op een router iig ongedaan maken. Hardwarematige backdoors zijn erger(Intel ME bijvoorbeeld) en die zullen ongetwijfeld in veel routers & switches zitten.

[Reactie gewijzigd door MrFax op 2 mei 2019 20:55]

knutsel smurf
@JapyDooge2 mei 2019 22:44
In veel gevallen hebben fabrikanten sowieso backdoors, sommige ook voor opsporingsdiensten enzo.
Zou hier graag een nuancering op geven.
Een backdoor is heel wat anders dan bijvoorbeeld legal interception, en juist legal interception is iets wat aanwezig moet zijn voor overheden om te kunnen tappen.
JapyDooge
@knutsel smurf2 mei 2019 23:43
Een backdoor is precies wat het zegt te zijn, een achterdeurtje; voor wie dan ook. Legal interception valt daar ook onder.
ViTO_xp
@JapyDooge3 mei 2019 13:38
Volgens mij snap jij het. Maar de reacties hierop raken dan weer kant noch wal.

Het gaat hier dus niet om dat er een "backdoor" is, want dat is in feite indirect bevestigd.
Het gaat er juist om dat de private sleutel van deze "backdoor" oplossing aanwezig is.

Wat zou Cisco (of NSA zo je wilt) er nu aan hebben om die private sleutel met iedereen te delen.

Maw. als het al een backdoor is, dan is het een hele klungelige en hang je het met een dergelijke implementatie juist aan de grote klok.

Ik zou 'm zo willen definiëren: een bug (foutje van de ontwikkelaar) die als gevolg heeft dat je device enorm kwetsbaar is.
JapyDooge
@ViTO_xp3 mei 2019 14:14
Oh ja, ik denk dat het absoluut niet de bedoeling was om de private key ook aanwezig te laten zijn ;)

Een backdoor, met 'n stomme fout :P De sleutel ligt onder de deurmat zegmaar.
CAPSLOCK2000
@Koffiebarbaar2 mei 2019 16:21
Je maakt het een beetje luchtig maar hoe je per ongeluk zo'n sleutelpaar in de switch laat zitten is me echt een raadsel.
Riekt inderdaad naar een opzettelijk ongelukje.
Of een gebrek aan goede procedures en controles. Dit soort dingen gebeuren te vaak.
Ik kan niet anders dan constateren dat de meeste bedrijven hun producten nauwelijks testen. Ik denk dat veel van de tests die wel gedaan worden vooral door de programmeurs zelf gedaan worden. Die hebben uiteraard vooral belangstelling voor hun eigen werk terwijl ze een blinde vlek hebben voor hun eigen fouten, zo werken mensen.

Daar komt bij dat ze blijkbaar niet goed bijhouden wat er nu precies in zo'n firmware gaat. De meeste programmeurs kijken waarschijnlijk alleen naar hun eigen stukje en hebben geen idee welke files andere medewerkers op het systeem zetten.
Achteraf is het natuurlijk makkelijk praten, maar ik hoop dat ze een lijstje gaan maken van welke files in zo'n firmware horen te zitten zodat ze ongeautoriseerde toevoegingen direct herkennen.

[Reactie gewijzigd door CAPSLOCK2000 op 3 mei 2019 11:11]

Loggedinasroot
@JapyDooge2 mei 2019 14:31
Het Amerikaanse bedrijf zegt dat het lek voor zover bekend eerder niet publiekelijk bekend is gemaakt en dat het niet is misbruikt.
Maar het is niet misbruikt...
En er zijn geen passwords gestolen maar een paar duizend hashed passwords gestolen ... een paar miljoen hashed passwords gestolen ... 500 miljoen hashed passwords gestolen
de passwords waren niet gehashed en alles is meegenomen :+
ultimasnake
@JapyDooge2 mei 2019 16:36
Een Chinese medewerker waarschijnlijk achtergelaten :Y)
InsanelyHack
@JapyDooge3 mei 2019 03:07
Ik geloof niet dat in enterprise omgevingen dit soort switches aan het internet hangen dus hoe wil je die backdoor dan benaderen? Wij hebben een out of band management netwerk waar we dit soort kritische CI's managen waarbij strigente firewall policies aanwezig zijn welk verkeer er doorheen gaat. Wel raar dat er een sleutelpaar embedded is aangetroffen. Maar wie is dit opgevallen? De firmware is niet opensource en is volgens mij middels RSA encrypted zoals je ook wel ziet bij laptops. Dat betekend dat iemand toch inhoudelijk toegang heeft gekregen tot deze firmware. Dat moet dan Cisco zelf geweest zijn of een vertrouweling aan wie zij de firmware hebben toevertrouwd.

Edit:
Ik bedoel Cisco gaat dat echt niet zomaar bekend maken als ze er zelf andere intenties mee hadden. Lijkt me meer op gewoon een slordige fout van een developteam ofzo.

[Reactie gewijzigd door InsanelyHack op 3 mei 2019 03:18]

JapyDooge
@InsanelyHack3 mei 2019 10:54
Wat je laatste punt betreft, dit linkte @dehardstyler een stukje hieronder:
https://www.zdnet.com/art...r-and-thats-a-good-thing/

Wat de rest betreft, en ik elders ook al gepost heb; security is geen slotgracht, bij goede security heb je lagen in je omgeving. Als iemand in je netwerk zit, moet dat nog steeds een uitdaging zijn zonder de correcte rechten.
InsanelyHack
@JapyDooge3 mei 2019 11:05
inderdaad zie mijn post hier beneden.
scn
2 mei 2019 15:00
Maar welke zichzelf respecterende netwerk-engineer laat SSH vanaf het internet zo toe in het management-segment van zijn switches? Want eerlij is eerlijk, de Nexus 9k wordt meestal niet gebruikt bij winkeltjes of kleine bedrijfjes, die worden eigenlijk alleen maar gebruikt in Datacenters of in grotere netwerken.
Ik mag er dan toch vanuit gaan, dat er daar over management is nagedacht en dat dat niet direct vanuit internet bereikbaar is.
DJMaze
@scn2 mei 2019 15:12
En dan is er opeens een interne netwerk PC gehackt en komen ze bij die switches... ;)
Als ik jou was zou ik even bij de overheid opperen om geen zaken te doen met Amerikanen, omdat er ook aan de overheid wordt gevraagd om geen zaken te doen met China i.v.m. de zelfde redenen.
InsanelyHack
@DJMaze3 mei 2019 03:16
Dan nog heeft SCN een punt. Een enterprise omgeving, waar dit soort switches typisch, worden gebruikt is helemaal niet direct bereikbaar vanuit een werkplek. Als je het zo wel bouwt ben je in mijn optiek not qualified voor deze job als network-engineer. Je maakt minimaal een out of band management met een firewall + IPS scheiding waarbij er helemaal geen internet verbinding mogelijk is. Wij kunnen dat b.v. alleen met fysieke access in een datacenter als we bv een firmware update moeten doen waarbij noodzakelijke communicatie dan tijdelijk wordt opengezet. Configuratie deployments gaan van een "secure service netwerk" dieper naar een management enclave die het doorstuurt naar een management bus. Iedere overgang middels firewalls en IPS-en en voordat je in het secure service netwerk zit ben je ook al een aantal firewall - ips lagen diep gegaan vanuit je kantoor werkplek. Alles bij elkaar minstens 5 lagen diep waarbij verkeer alleen maar van low secure naar high secure kan lopen en niet andersom.
Ascension
@scn2 mei 2019 15:15
Wil net zeggen, om een dergelijke bug te misbruiken moet je jezelf al toegang hebben verschaft tot het management netwerk. Mocht je daar als buitenstaander binnenkomen dan heb je andere problemen dan deze bug.
Nox
@Ascension2 mei 2019 20:46
Een management netwerk met ipv6. Sowieso niet slim.
Tozz
@Nox2 mei 2019 22:15
Wat is dat nou weer voor onzin? Waarom zou dat niet slim zijn?
Nox
@Tozz2 mei 2019 22:25
Omdat je bij lange na niet zoveel IP-adressen nodig hebt, als je publieke IP-adressen gebruikt je nog afhankelijk bent van een firewall en bovendien, het meest simpele: je hebt het niet nodig. Tenzij je meer dan miljoenen devices te beheren hebt kan je doorgaans prima af met ipv4.
JapyDooge
@scn2 mei 2019 16:01
Nouja, security is geen slotgracht, al denken veel bedrijven dat wel.
Anders kun je binnen je netwerk net zo goed alles bij elkaar op 1 onbeveiligde netwerk share zetten. ;)
Raindeer
2 mei 2019 14:29
Als we de naam Cisco nu vervangen door Huawei, dan werd het artikel een stuk beter gelezen en hadden we wereldwijd verhalen over Chinese spionage.
MuKkEzZz
@Raindeer2 mei 2019 15:47
Inderdaad, ik lees nergens dat Cisco nu wordt uitgesloten voor de levering van 5G-apparatuur. Waarom is het bij Huawei een backdoor en bij Cisco een bug?!
Ascension
@MuKkEzZz2 mei 2019 17:20
Leestip: Rob van Wijk - De nieuwe wereldorde
D3F
2 mei 2019 14:30
Verrassend. ACI behoort tot mijn dagelijkse takenpakket en er gaat geen week voorbij zonder bug. Dat varieert van bovenstaand tot niet opkomende interfaces die na een week ineens actief worden 8)7
AnonymousWP
@D3F2 mei 2019 14:53
Plot-twist: op afstand doet de NSA even een "shut f0/1" en een week later een "no shut f/0/1" :+.
Nox
@AnonymousWP2 mei 2019 20:39
Conf t
Fa0/1
Shut (of shit)
No shut
Bedoel je? :P of hebben die nexus switches andere commands? Groetjes een catalyst user.

[Reactie gewijzigd door Nox op 2 mei 2019 20:39]

AnonymousWP
@Nox2 mei 2019 20:40
Ja, dat bedoelde ik, maar ik liet het irrelevante stukje even achterwege ;). Ging om de boodschap over het down gooien van interfaces.

[Reactie gewijzigd door AnonymousWP op 2 mei 2019 20:41]

Nox
@AnonymousWP2 mei 2019 20:43
Nee dat zijn de users die een dsl modem of pots telefoon in de rj45 poort gooien en er dan achter komen dat dat niet werkt :+

(Ja dat heb ik gezien :') )

[Reactie gewijzigd door Nox op 2 mei 2019 20:44]

AnonymousWP
@Nox2 mei 2019 20:45
lmao.
dehardstyler
2 mei 2019 14:59
Alweer joh?

Nov. 2018: https://www.zdnet.com/art...r-and-thats-a-good-thing/

[Reactie gewijzigd door dehardstyler op 2 mei 2019 15:06]

AnonymousWP
@dehardstyler2 mei 2019 15:04
Je link is dood. Vergeten de link te kopieren in plaats van als tekst? ;)

[Reactie gewijzigd door AnonymousWP op 2 mei 2019 15:04]

dehardstyler
@AnonymousWP2 mei 2019 15:06
Klopt als een bus, het is gefixt! :)
Pas_PC
2 mei 2019 17:01
Gewoon een Amerikaanse backdoor.. En dan maar klagen over de Chinezen en Russen. We weten allemaal wel beter!
well0549
2 mei 2019 17:50
Nou zeg, hier wordt Huawei nou iedere keer (ongefundeerd) van beschuldigd, blijken juist de Amerikanen het geïmplementeerd te hebben....

Als dit bij een Huawei router was gebeurd was de wereld te klein geweest en was de Chinese overheid de grote boeman
mbbs1024
@well05493 mei 2019 14:39
De CEO van telecom operator Proximus heeft onlangs in het midden van de Huawei heisa nog verklaard dat Huawei op vlak van transparantie veel beter is dan Amerikaanse producenten.
The Jester
2 mei 2019 15:49
Alleen kwetsbaar onder IPv6.
In het IPv6-protocol zelf zitten al meer gaten dan in een gemiddeld vergiet.

Alweer een reden om IPv6 te verbannen van het netwerk.
Ascension
@The Jester2 mei 2019 17:25
Wat voor kwetsbaarheden zitten er in IPv6? Dat sommige implementaties slecht zijn heeft niet zoveel met het protocol te maken hoor...
The Jester
@Ascension3 mei 2019 08:22
Als je kijkt naar de CVE's voor IPv6, dan is dat flink schrikken.
Veel zaken zijn (of waren) niet goed geregeld in de protocolspecificatie.

Die zaken worden wel aangepakt, maar we weten allemaal hoe laks vendors vaak zijn in hun updates. IPv6 heeft tijd nodig om volwassen te worden. Het is zeker nog niet volwassen genoeg om in te zetten op kritische systemen. Je kunt core routers en - switches niet om de haverklap updaten en dus zijn veel organisaties kwetsbaar.

Zolang er nog regelmatig zwakheden worden gevonden in het protocol zelf, is het in mijn optiek spelen met vuur.
Zeker gezien de boetes die tegenwoordig worden uitgedeeld na datalekken.
JapyDooge
@The Jester2 mei 2019 16:02
Dit heeft natuurlijk niets specifiek met IPv6 te maken, hooguit met een gebrekkige test die niet goed opgeruimd is na het implementeren er van in de code.
Nox
@The Jester2 mei 2019 20:45
Voor een intern management netwerk heb je ook geen ipv6 nodig gelukkig.
mindwarper
3 mei 2019 07:28
Dus als ik het goed heb gelezen en geïnterpreteerd dan is het issue niet aanwezig als de N9K switches in NX-OS mode (dus niet ACI mode) draaien?
Of komt daar ook een bugfix voor?

[Reactie gewijzigd door mindwarper op 3 mei 2019 07:31]

c-nan
@mindwarper3 mei 2019 08:06
Cisco has confirmed that this vulnerability does not affect the following Cisco products:

[...]
Nexus 9000 Series Switches in standalone NX-OS mode

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee