Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cisco repareert kritieke kwetsbaarheid in software van Nexus 9000-switch

Cisco heeft een update uitgebracht die een kritieke kwetsbaarheid in de Nexus 9000 Series-switches dicht. Met deze kwetsbaarheid was het mogelijk om als indringer op afstand toegang te verkrijgen tot de switch en over dezelfde rechten als de root user te beschikken.

Volgens Cisco maakte een kwetsbaarheid in de secure shell key het voor indringers mogelijk om van een afstand te verbinden met een systeem. Deze indringer zou dan over dezelfde rechten beschikken als de root user. De kwetsbaarheid betreft de aanwezigheid van een standaard ssh-sleutelpaar in alle apparaten. Een aanvaller kon met deze sleutels via ipv6 een ssh-verbinding openen naar een Nexus 9000-apparaat. Een aanval over ipv4 zou volgens Cisco niet werken.

Cisco noemt de kwetsbaarheid 'kritiek' en heeft het een score op basis van het Common Vulnerability Scoring System van 9,8 op een schaal tot 10 gegeven. Gebruikers van de netwerkapparatuur wordt aangeraden om de gratis software-update 14.1 (1i) te downloaden en te installeren. Volgens Cisco zijn er geen alternatieven om zonder een update deze kwetsbaarheid te verhelpen. Alleen switches die in de Application Centric Infrastructure-modus werken zijn volgens Cisco kwetsbaar voor een mogelijke aanval.

Het Amerikaanse bedrijf zegt dat het lek voor zover bekend eerder niet publiekelijk bekend is gemaakt en dat het niet is misbruikt. Vinder van de kwetsbaarheid is Oliver Matula van het Duitse ERNW. Het Britse The Register stelt dat kwaadwillenden met dit lek gebruikers hadden kunnen bespioneren.

Door Hayte Hugo

Stagiair nieuwsredactie

02-05-2019 • 14:23

60 Linkedin Google+

Submitter: Freeaqingme

Reacties (60)

Wijzig sortering
De kwetsbaarheid betreft de aanwezigheid van een standaard ssh-sleutelpaar in alle apparaten.
Oftewel, een backdoor ;)
Inderdaad. Als zoiets in Chinese apparatuur had gezeten zouden er Kamervragen worden gesteld.
Zie ook alle rumoer rond de ontdekking van de beschrijving van een al enkele jaren opgelost probleem bij Huawei hardware enkele dagen geleden.
Nu krijgt Cisco een compliment omdat er een kritiek lek wordt gepatched.
Precies dit ja.
Ik zat met precies hetzelfde in mn hoofd.
Ik geloof best dat alle grote bedrijven wel een backdoor hebben.

Maar gek dat Amerika het wel mag en China niet.
Amerika is, hoe gek het ook mag klinken. Een bontgenoot. 1 waar we al sinds hun bestaan bevriend mee zijn. Deels omdat we ze daar mee geholpen hebben (om de Engelsen te kakken te nemen, meer niet eigenlijk). Een band die honderden jaren terug gaat.

China daarentegen, alles behalve.

Het lijkt me meer een soort protectionisme tegen China die wel onze economie aan het slopen is door onze markten te vloeden met onder-kostprijs producten. En dat China gezien wordt als land vol hackers op het internet, is ook echt niet ongegrond. Dat we als het westen een beetje onze achtergelaten puinhopen in o.a. Afrika op proberen te ruimen in een paar regios al compleet teniet wordt gedaan door het uitbuiten van China in deze regios.

China is een geopolitieke tegenstander. Waar we wel -vrij hypocriet- maar al te graag misbruik van maken als het ons uitkomt.

Van zo'n land wil je geen apparatuur in je kritieke netwerken hebben. De VS heeft zijn streken, maar is op de lange termijn blijkbaar goed te vertrouwen. Desalniettemin, eigen Europees spul heeft daar voor hoe dan ook de voorkeur, maar goed. Wij zijn nog te verdeeld.

[Reactie gewijzigd door batjes op 2 mei 2019 17:51]

Op lange termijn is niemand te vertrouwen.

De VS is ook op korte termijn niet te vertrouwen als je niet doet wat zij willen. Zie Zuid en Midden-Amerika, Iran voor de Sjah en veel andere landen.

Staatsgrepen gepleegd met hulp van de VS, wapens daar vandaan en andere minder frisse zaken.

Panisch voor socialisme, dus daar worden moorden voor gepleegd, verdragen worden verbroken.

China onderdrukt en moord, maar de VS is geen haar beter in ik vertrouw ze totaal niet.
Ja klopt want die landen waren goede bondgenoten van de VS. Oh wacht.
Osama bin Laden was in opdracht en met financiële steun van de CIA bezig in Afghanistan. Iran kreeg z'n revolutie nadat Amerika tientallen jaren lang een wrede dictator in het zadel had gehouden. Na de Iraanse Revolutie huurde Amerika Irak in voor een oorlog. Saddam Hussein kreeg geld en technologie en wapens van Amerika, en Amerika liet Duitsland de fabriek leveren waarmee Hussein chemische wapens produceerde. Daarom was Amerika zo overtuigd van de wapenvoorraden: ze hadden ze zelf geleverd en de bonnetjes bewaard.

Dus ja: de grote tegenstanders van Amerika zijn voormalig bondgenoten die door Amerika verraden zijn.
Osama Bin Laden als bondgenoot van de VS zien? Ze hebben die kerel en zijn organisatie proberen te misbruiken richting de Russen, wat uiteindelijk enorm in hun gezicht is opgeblazen. Iraq is een topic op zichzelf waardig, lastig verhaal. Tevens geen bondgenoot. Geallieerd zijn met is toch anders.

Het middenoosten is een geopolitieke strijd geweest tussen het kapitalisme en communisme met een westers koloniserend verleden. Een opstapeling van conflicten die tot meer dan 3000 jaar terug te leiden is. 1 partij daar de schuld van geven is idioot.

We zijn niet zulke goede vriendjes met de VS als bv Engeland (dat zijn echt geopolitieke buttbuddies, wat wij meer hebben met Duitsland). Maar we staan wel vrij hoog op dat lijstje van beste vriendjes van de VS. En hun hoog op de onze. Ondanks alle bullshit.
En daarom hebben de geheime diensten van UK en US een paar jaar geleden de Nationale Telecom operator Belgacom gehackt, omdat het zo een goede vrienden zijn ?
Met zulke goede vrienden heb je geen vijanden meer nodig.
Ieder land dat niet mooi aan de leiband van de VS loopt riskeert economische sabotage, ontwrichtende akties door de CIA, vermoorden van politieke leiders, bombardementen en militaire invallen.
Jij denkt dat wij onze bondgenoten niet hacken en bespioneren? We zijn er groot mee geworden ;)

Gebeurt onderling ook, maar er zijn daar toch, tja, grenzen. Afluisteren oké, beïnvloeden weer niet. Maar elk land/natie is in dat opzicht egocentrisch. Wij maken ook economisch misbruik van onze illegaal opgedane kennis.

De volgende oorlog waar we echt als land in verzeilt raken zal de derde wereld oorlog zijn, en die zal niet tegen de VS gestreden worden. Dit is een beetje waarom het bespioneer vanuit landen als Rusland of China, toch wat erger is en meer als serieuze dreiging wordt gezien. Want die 2 zullen aan de andere kant staan.
Je maakt het een beetje luchtig maar hoe je per ongeluk zo'n sleutelpaar in de switch laat zitten is me echt een raadsel.
Riekt inderdaad naar een opzettelijk ongelukje.

[Reactie gewijzigd door Koffiebarbaar op 2 mei 2019 14:27]

In veel gevallen hebben fabrikanten sowieso backdoors, sommige ook voor opsporingsdiensten enzo.

Dat is helaas gebruikelijk, de grote fout lijkt hier te zijn dat het gaat om een sleutelpaar.
Bij een normale SSH-verbinding is aan de serverkant (in dit geval de switch) enkel de public key bekend, en staat deze in een lijstje met toegestane keys (zoals de known_hosts file).
Bij een volledig sleutelpaar zou het mogelijk moeten zijn de private key in de switch-firmware te vinden, en deze dus te misbruiken op alle switches met deze firmware (en mogelijk ook eerdere).

Inderdaad enorm slordig.
Volgens Cisco zijn er geen alternatieven om zonder een update deze kwetsbaarheid te verhelpen.
Wel erg gek om zo'n key hardcoded in je device te hebben waar je zelf geen controle over hebt.
Cisco staat bekend als 's werelds grootste leverancier van hardcoded passwords.
Als de NSA er maar controle over heeft is het goed. Daar kunnen we gewoon niet meer omheen. Er zijn sinds 2012 zo gigantische veel hardcoded keys / wachtwoorden gevonden ( aka backdoors ), dat de NSA hier wel achter moet zitten.
Pfff, NSA?
Als ik zie hoe slordig programmeurs soms zijn... voor het gemak dingen toevoegen (lekker makkelijk bij ontwikkeling en testen), en dan vergeten te verwijderen.
De overheidsdiensten hoeven echt niet te verplichten dat er backdoors geplaatst worden. Men lijkt niet te beseffen dat software (en hardware) 1 grote security gatenkaas is. Het is echt bizar hoe veel fouten en dat soort simpele quickfixjes productie omgevingen bereiken. Het is bijna alsof het mensenwerk is. Het voordeel is wel dat deze exploits/foutjes voornamelijk doelgericht ingezet worden.

Software (en hardware) zit echt vol security gaten. Ze zoeken hun eigen backdoors wel en komen deze wel melden als ze de exploits/bugs door een tegenpartij gebruikt zien worden of hackers het exploiteren.

Eigenlijk op poster boven je bedoelt, oeps

[Reactie gewijzigd door batjes op 2 mei 2019 17:43]

Heb je hier ook enig bewijs voor? Afgezien je eigen conclusie die je maakt hebt? Persoonlijk denk.ik dat de kans van slordigheid veel groter namelijk is.
Uiteraard: https://www.infoworld.com...rs-in-cisco-products.html

Dat is een artikel uit 2014. Denk jij dat ze er daarna direct mee gestopt zijn? Ik mag hopen dat je niet zo naïef bent. ;)

Ze hebben inmiddels in alle soorten Cisco producten wel een hardcoded backdoor gevonden ( die door verschillende afdelingen binnen Cisco ontwikkeld worden ), zelfs een paar die rechten hadden boven administrator level. Dus zelfs als administrator kun je daar niet bij komen, het is een aparte omgeving. ( Ik ben de bron nog aan het zoeken voor je )
Je ontwikkeld niet per ongeluk een omgeving boven administrator en die hoef je ook niet te ontwikkelen om te testen of iets dergelijks, want je kan alles al testen met het hoogste administrator level.


edit: ook @batjes

edit2: "Grappig" ook dat bij Juniper hetzelfde gebeurd is: https://www.theregister.c...er_hardcoded_credentials/

Toevallig.

[Reactie gewijzigd door dehardstyler op 3 mei 2019 10:16]

Alleen dit soort softwarematige backdoors kan je met custom firmware op een router iig ongedaan maken. Hardwarematige backdoors zijn erger(Intel ME bijvoorbeeld) en die zullen ongetwijfeld in veel routers & switches zitten.

[Reactie gewijzigd door NotCYF op 2 mei 2019 20:55]

In veel gevallen hebben fabrikanten sowieso backdoors, sommige ook voor opsporingsdiensten enzo.
Zou hier graag een nuancering op geven.
Een backdoor is heel wat anders dan bijvoorbeeld legal interception, en juist legal interception is iets wat aanwezig moet zijn voor overheden om te kunnen tappen.
Een backdoor is precies wat het zegt te zijn, een achterdeurtje; voor wie dan ook. Legal interception valt daar ook onder.
Volgens mij snap jij het. Maar de reacties hierop raken dan weer kant noch wal.

Het gaat hier dus niet om dat er een "backdoor" is, want dat is in feite indirect bevestigd.
Het gaat er juist om dat de private sleutel van deze "backdoor" oplossing aanwezig is.

Wat zou Cisco (of NSA zo je wilt) er nu aan hebben om die private sleutel met iedereen te delen.

Maw. als het al een backdoor is, dan is het een hele klungelige en hang je het met een dergelijke implementatie juist aan de grote klok.

Ik zou 'm zo willen definiëren: een bug (foutje van de ontwikkelaar) die als gevolg heeft dat je device enorm kwetsbaar is.
Oh ja, ik denk dat het absoluut niet de bedoeling was om de private key ook aanwezig te laten zijn ;)

Een backdoor, met 'n stomme fout :P De sleutel ligt onder de deurmat zegmaar.
Je maakt het een beetje luchtig maar hoe je per ongeluk zo'n sleutelpaar in de switch laat zitten is me echt een raadsel.
Riekt inderdaad naar een opzettelijk ongelukje.
Of een gebrek aan goede procedures en controles. Dit soort dingen gebeuren te vaak.
Ik kan niet anders dan constateren dat de meeste bedrijven hun producten nauwelijks testen. Ik denk dat veel van de tests die wel gedaan worden vooral door de programmeurs zelf gedaan worden. Die hebben uiteraard vooral belangstelling voor hun eigen werk terwijl ze een blinde vlek hebben voor hun eigen fouten, zo werken mensen.

Daar komt bij dat ze blijkbaar niet goed bijhouden wat er nu precies in zo'n firmware gaat. De meeste programmeurs kijken waarschijnlijk alleen naar hun eigen stukje en hebben geen idee welke files andere medewerkers op het systeem zetten.
Achteraf is het natuurlijk makkelijk praten, maar ik hoop dat ze een lijstje gaan maken van welke files in zo'n firmware horen te zitten zodat ze ongeautoriseerde toevoegingen direct herkennen.

[Reactie gewijzigd door CAPSLOCK2000 op 3 mei 2019 11:11]

Het Amerikaanse bedrijf zegt dat het lek voor zover bekend eerder niet publiekelijk bekend is gemaakt en dat het niet is misbruikt.
Maar het is niet misbruikt...
En er zijn geen passwords gestolen maar een paar duizend hashed passwords gestolen ... een paar miljoen hashed passwords gestolen ... 500 miljoen hashed passwords gestolen
de passwords waren niet gehashed en alles is meegenomen :+
Een Chinese medewerker waarschijnlijk achtergelaten :Y)
Ik geloof niet dat in enterprise omgevingen dit soort switches aan het internet hangen dus hoe wil je die backdoor dan benaderen? Wij hebben een out of band management netwerk waar we dit soort kritische CI's managen waarbij strigente firewall policies aanwezig zijn welk verkeer er doorheen gaat. Wel raar dat er een sleutelpaar embedded is aangetroffen. Maar wie is dit opgevallen? De firmware is niet opensource en is volgens mij middels RSA encrypted zoals je ook wel ziet bij laptops. Dat betekend dat iemand toch inhoudelijk toegang heeft gekregen tot deze firmware. Dat moet dan Cisco zelf geweest zijn of een vertrouweling aan wie zij de firmware hebben toevertrouwd.

Edit:
Ik bedoel Cisco gaat dat echt niet zomaar bekend maken als ze er zelf andere intenties mee hadden. Lijkt me meer op gewoon een slordige fout van een developteam ofzo.

[Reactie gewijzigd door InsanelyHack op 3 mei 2019 03:18]

Wat je laatste punt betreft, dit linkte @dehardstyler een stukje hieronder:
https://www.zdnet.com/art...r-and-thats-a-good-thing/

Wat de rest betreft, en ik elders ook al gepost heb; security is geen slotgracht, bij goede security heb je lagen in je omgeving. Als iemand in je netwerk zit, moet dat nog steeds een uitdaging zijn zonder de correcte rechten.
inderdaad zie mijn post hier beneden.
Maar welke zichzelf respecterende netwerk-engineer laat SSH vanaf het internet zo toe in het management-segment van zijn switches? Want eerlij is eerlijk, de Nexus 9k wordt meestal niet gebruikt bij winkeltjes of kleine bedrijfjes, die worden eigenlijk alleen maar gebruikt in Datacenters of in grotere netwerken.
Ik mag er dan toch vanuit gaan, dat er daar over management is nagedacht en dat dat niet direct vanuit internet bereikbaar is.
En dan is er opeens een interne netwerk PC gehackt en komen ze bij die switches... ;)
Als ik jou was zou ik even bij de overheid opperen om geen zaken te doen met Amerikanen, omdat er ook aan de overheid wordt gevraagd om geen zaken te doen met China i.v.m. de zelfde redenen.
Dan nog heeft SCN een punt. Een enterprise omgeving, waar dit soort switches typisch, worden gebruikt is helemaal niet direct bereikbaar vanuit een werkplek. Als je het zo wel bouwt ben je in mijn optiek not qualified voor deze job als network-engineer. Je maakt minimaal een out of band management met een firewall + IPS scheiding waarbij er helemaal geen internet verbinding mogelijk is. Wij kunnen dat b.v. alleen met fysieke access in een datacenter als we bv een firmware update moeten doen waarbij noodzakelijke communicatie dan tijdelijk wordt opengezet. Configuratie deployments gaan van een "secure service netwerk" dieper naar een management enclave die het doorstuurt naar een management bus. Iedere overgang middels firewalls en IPS-en en voordat je in het secure service netwerk zit ben je ook al een aantal firewall - ips lagen diep gegaan vanuit je kantoor werkplek. Alles bij elkaar minstens 5 lagen diep waarbij verkeer alleen maar van low secure naar high secure kan lopen en niet andersom.
Wil net zeggen, om een dergelijke bug te misbruiken moet je jezelf al toegang hebben verschaft tot het management netwerk. Mocht je daar als buitenstaander binnenkomen dan heb je andere problemen dan deze bug.
Een management netwerk met ipv6. Sowieso niet slim.
Wat is dat nou weer voor onzin? Waarom zou dat niet slim zijn?
Omdat je bij lange na niet zoveel IP-adressen nodig hebt, als je publieke IP-adressen gebruikt je nog afhankelijk bent van een firewall en bovendien, het meest simpele: je hebt het niet nodig. Tenzij je meer dan miljoenen devices te beheren hebt kan je doorgaans prima af met ipv4.
Nouja, security is geen slotgracht, al denken veel bedrijven dat wel.
Anders kun je binnen je netwerk net zo goed alles bij elkaar op 1 onbeveiligde netwerk share zetten. ;)
Als we de naam Cisco nu vervangen door Huawei, dan werd het artikel een stuk beter gelezen en hadden we wereldwijd verhalen over Chinese spionage.
Inderdaad, ik lees nergens dat Cisco nu wordt uitgesloten voor de levering van 5G-apparatuur. Waarom is het bij Huawei een backdoor en bij Cisco een bug?!
Verrassend. ACI behoort tot mijn dagelijkse takenpakket en er gaat geen week voorbij zonder bug. Dat varieert van bovenstaand tot niet opkomende interfaces die na een week ineens actief worden 8)7
Plot-twist: op afstand doet de NSA even een "shut f0/1" en een week later een "no shut f/0/1" :+.
Conf t
Fa0/1
Shut (of shit)
No shut
Bedoel je? :P of hebben die nexus switches andere commands? Groetjes een catalyst user.

[Reactie gewijzigd door Nox op 2 mei 2019 20:39]

Ja, dat bedoelde ik, maar ik liet het irrelevante stukje even achterwege ;). Ging om de boodschap over het down gooien van interfaces.

[Reactie gewijzigd door AnonymousWP op 2 mei 2019 20:41]

Nee dat zijn de users die een dsl modem of pots telefoon in de rj45 poort gooien en er dan achter komen dat dat niet werkt :+

(Ja dat heb ik gezien :') )

[Reactie gewijzigd door Nox op 2 mei 2019 20:44]

Alweer joh?

Nov. 2018: https://www.zdnet.com/art...r-and-thats-a-good-thing/

[Reactie gewijzigd door dehardstyler op 2 mei 2019 15:06]

Je link is dood. Vergeten de link te kopieren in plaats van als tekst? ;)

[Reactie gewijzigd door AnonymousWP op 2 mei 2019 15:04]

Klopt als een bus, het is gefixt! :)
Gewoon een Amerikaanse backdoor.. En dan maar klagen over de Chinezen en Russen. We weten allemaal wel beter!
Nou zeg, hier wordt Huawei nou iedere keer (ongefundeerd) van beschuldigd, blijken juist de Amerikanen het geïmplementeerd te hebben....

Als dit bij een Huawei router was gebeurd was de wereld te klein geweest en was de Chinese overheid de grote boeman
De CEO van telecom operator Proximus heeft onlangs in het midden van de Huawei heisa nog verklaard dat Huawei op vlak van transparantie veel beter is dan Amerikaanse producenten.
Alleen kwetsbaar onder IPv6.
In het IPv6-protocol zelf zitten al meer gaten dan in een gemiddeld vergiet.

Alweer een reden om IPv6 te verbannen van het netwerk.
Wat voor kwetsbaarheden zitten er in IPv6? Dat sommige implementaties slecht zijn heeft niet zoveel met het protocol te maken hoor...
Als je kijkt naar de CVE's voor IPv6, dan is dat flink schrikken.
Veel zaken zijn (of waren) niet goed geregeld in de protocolspecificatie.

Die zaken worden wel aangepakt, maar we weten allemaal hoe laks vendors vaak zijn in hun updates. IPv6 heeft tijd nodig om volwassen te worden. Het is zeker nog niet volwassen genoeg om in te zetten op kritische systemen. Je kunt core routers en - switches niet om de haverklap updaten en dus zijn veel organisaties kwetsbaar.

Zolang er nog regelmatig zwakheden worden gevonden in het protocol zelf, is het in mijn optiek spelen met vuur.
Zeker gezien de boetes die tegenwoordig worden uitgedeeld na datalekken.
Dit heeft natuurlijk niets specifiek met IPv6 te maken, hooguit met een gebrekkige test die niet goed opgeruimd is na het implementeren er van in de code.
Voor een intern management netwerk heb je ook geen ipv6 nodig gelukkig.
Dus als ik het goed heb gelezen en geïnterpreteerd dan is het issue niet aanwezig als de N9K switches in NX-OS mode (dus niet ACI mode) draaien?
Of komt daar ook een bugfix voor?

[Reactie gewijzigd door mindwarper op 3 mei 2019 07:31]

Cisco has confirmed that this vulnerability does not affect the following Cisco products:

[...]
Nexus 9000 Series Switches in standalone NX-OS mode

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True