Onderzoekers: Cisco-apparaten van TU Delft doelwit van cybercriminelen - update

Een groep Chinese cybercriminelen die bekendstaat als 'RedMike' en 'Salt Typhoon' valt Cisco-apparaten aan die een patch voor kwetsbaarheden uit 2023 niet hebben geïnstalleerd. Ook apparaten van de TU Delft zijn doelwit geweest, stelt beveiligingsbedrijf Recorded Future.

De groepering gebruikt bij zijn aanval twee kwetsbaarheden in de IOS XE-software van Cisco die in 2023 werden ontdekt. Met de eerste kwetsbaarheid, CVE-2023-20198, kunnen aanvallers gebruikerstoegang krijgen. De tweede kwetsbaarheid, CVE-2023-20273, wordt vervolgens ingezet om rootprivileges te verkrijgen. Zo kunnen aanvallers de volledige controle krijgen over het apparaat.

Beide problemen werden in oktober 2023 verholpen met een patch, maar die blijkt niet overal te zijn geïnstalleerd. Onderzoekers van Recorded Future zagen tussen december 2024 en januari dit jaar hoe de cybercriminelen probeerden om meer dan duizend Cisco-apparaten wereldwijd aan te vallen. Het is onduidelijk of die aanvallen succesvol waren.

De aanvallen richten zich volgens Recorded Future vooral op telecombedrijven, maar onder de doelwitten zitten ook universiteiten in onder meer Nederland, de Verenigde Staten en Argentinië. De onderzoekers vermoeden dat RedMike deze universiteiten aanvalt om toegang te krijgen tot onderzoek gerelateerd aan telecommunicatie, engineering en technologie. De TU Delft zou een van die universiteiten zijn. Tweakers heeft de TU Delft om een reactie gevraagd. Die zegt niet gehackt te zijn.

Update, 14 februari 15.23 uur - De TU Delft heeft inmiddels laten weten dat de hackers de systemen niet hebben weten binnen te dringen, omdat de Cisco-software up-to-date was. We hebben daar een nieuw artikel over gepubliceerd.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 13-02-2025 13:52 31

13-02-2025 • 13:52

31

Lees meer

OpenDNS stopt dienstverlening in België na gerechtelijke uitspraak - update
OpenDNS stopt dienstverlening in België na gerechtelijke uitspraak - update Nieuws van 14 april 2025
Beveiligingslekken in OpenSSH-software maken mitm-aanvallen mogelijk - update
Beveiligingslekken in OpenSSH-software maken mitm-aanvallen mogelijk - update Nieuws van 18 februari 2025
TU Delft zegt niet te zijn getroffen door Chinese hackers
TU Delft zegt niet te zijn getroffen door Chinese hackers Nieuws van 14 februari 2025
TNO en TU Delft maken quantumnetwerk van 25km tussen Den Haag en Delft
TNO en TU Delft maken quantumnetwerk van 25km tussen Den Haag en Delft Nieuws van 6 november 2024
'Chinese hackers hadden mogelijk maandenlang toegang tot afluisternetwerken VS'
'Chinese hackers hadden mogelijk maandenlang toegang tot afluisternetwerken VS' Nieuws van 5 oktober 2024
TU Delft-studenten steken Noordzee over met zelfgebouwde waterstofboot
TU Delft-studenten steken Noordzee over met zelfgebouwde waterstofboot Nieuws van 12 juli 2024
Spin-off van TU Delft haalt bijna 20 miljoen euro op voor RISC V-AI-chips
Spin-off van TU Delft haalt bijna 20 miljoen euro op voor RISC V-AI-chips Nieuws van 27 juni 2024
TU Delft-studenten halen wereldrecord met waterstofauto net niet
TU Delft-studenten halen wereldrecord met waterstofauto net niet Nieuws van 27 juni 2024
Cisco ontdekt tweede actief uitgebuite zeroday in IOS XE en komt zondag met fix
Cisco ontdekt tweede actief uitgebuite zeroday in IOS XE en komt zondag met fix Nieuws van 21 oktober 2023
Cisco waarschuwt klanten voor kritieke zeroday in IOS XE-software
Cisco waarschuwt klanten voor kritieke zeroday in IOS XE-software Nieuws van 17 oktober 2023
Meer producten en artikelen
Beveiliging en antivirus Cisco Cybercrime Cybersecurity TU Delft

Reacties (31)

-Moderatie-faq
31
31
24
2
0
5
Wijzig sortering
anpat 13 februari 2025 13:58
Is dat niet wat achterstallige updates die geïnstalleerd moesten worden? Ik begrijp dat een Uni misschien minder te besteden heeft aan IT, maar een patch uit 2023 niet installeren lijkt mij toch echt achterstallig onderhoud niet?
RoRoo @anpat13 februari 2025 14:01
Jazeker, maar dan moet een switch reloaden... dat kán natuurlijk niet!! /s
Irtimid @RoRoo13 februari 2025 14:04
Iets met redundantie? ;-)
Als het in ziekenhuizen etc kan dan moet dat op een TU ook wel lukken denk ik.
En ja ik heb de /s gezien ;-)
ewoutw @Irtimid13 februari 2025 14:26
Heel veel end devices hebben maar 1 ethernet port. Best lastig om deze dan met 2 aan te sluiten.
Best duur om voor iedere werkplek een extra NIC te kopen en aan te schaffen. 2e patchkabel, 2e stamkabel naar een Andere switch, en je moet 2x zoveel switchporten hebben. Ken eigenlijk geen enkel bedrijf waar dit zo geregeld is.


Ander verhaal is de netwerkapparatuur onderling. Die is vaak wel redundant.

[Reactie gewijzigd door ewoutw op 13 februari 2025 14:27]

Irtimid @ewoutw13 februari 2025 15:24
Ik doelde ook op de redundantie van het netwerk, dat is ook de insteek gezien de problemen/het artikel.

Dat je PC's etc niet van dubbele NICs uit gat rusten dat lijkt mij logisch, zou inderdaad wel een kostenpost en beheernachtmerrie worden denk ik.
Andreplusplus @ewoutw13 februari 2025 14:56
Niet alles hoeft dubbel uitgevoerd, endpoints al helemaal niet.
Nox @Irtimid13 februari 2025 14:26
Zeker in een uni zou je 's avonds of 's nachts gewoon moeten kunnen reloaden. Lijkt me heerlijk dat je na een uur of 7/8 gewoon 'kan doen wat je wil' praktisch gezien. Afgezonderd van core switches die een publieke functie hebben mogelijk. Maar een switch die wat klaslokalen en waps voorziet zouden gewoon na sluitingstijd een reload kunnen krijgen.
Irtimid @Nox13 februari 2025 15:30
Zelfs Coreswitches zouden kunnen, als je ontwerp maar goed is en je geen enkele single-point aansluiting hebt.
Cisco heeft in het verleden b.v. VSS oplossingen gehad, warbij 2 Core switches als 1 logisch geheel werkte. Dan kon je er een upgraden, rebooten en de ander nam het splitsecond over. Na de reboot de tweede Core switch en je bent weer helemaal bij.
Andere leveranciers hadden/hebben soortgelijke oplossingen.
Enige beperking is dat je wel echt alles redundant moest aansluiten, anders had je ergens een (flinke) hik.
Twee supervisors in 1 chassis is ook nog een oplossing, heb je (in principe) maar een enkele core switch nodig, waarbij je de supervisors om beurten upgrade en reboot.
Met APs kun je ook gewoon redundantie krijgen als je voldoende WLCs in gebruik hebt.

De mogelijkheden zijn er technisch dus, alleen is het een kwestie van geld....maar dat is met alles in het leven ;-)
Nox @Irtimid13 februari 2025 15:40
Ja, met geld kan een hoop. Het nadeel is dat redundantie niet zo simpel is als alles 2x aanleggen maar je soms een factor 5-10 totaal kwijt kan zijn. Hardware maar ook bekabeling moet apart aangelegd worden, volledig gescheiden van elkaar. Elektra, noodstroom en dan de configuraties nog.

Dan snap ik heel goed dat een accesslayer niet dubbel aangelegd wordt, dat kost klauwen met geld. En in principe is een reload in 5 minuten gedaan. Onderhoudswindow aankondigen en aju paraplu.
Polderviking @Irtimid13 februari 2025 16:07
Echt serieuze redundantie wordt snel duur dus dat je dat niet overal en altijd hebt snap ik wel.

Eerlijk gezegd snap ik, met uitzonderingen van wat specifieke omstandigheden, die nervositeit rond dat dingen soms gewoon even niet werken niet.

[Reactie gewijzigd door Polderviking op 13 februari 2025 16:07]

Hennie-M @Irtimid13 februari 2025 16:58
Voor dit soort gevallen heb je de C9400 chassis switches. Alle clients, AP's en dergelijke sluit je enkelvoudig aan en de management interface is dubbel uitgevoerd. Je kan dan een software upgrade prima overdag uitvoeren. ( ISSU documentatie)
Maar deze switches zijn wel echt heel erg duur.
RoRoo @Irtimid13 februari 2025 17:54
Zeker.. Alles is redundant behalve de end-devices.. En laat dat nou hier net een heeeeeeel groot probleem zijn in deze 24x7 organisatie.
Ik heb mezelf maar voorgenomen om een paar nachten "spontane verstoringen" op random switches te hebben die zichzelf op miraculeuze wijze na 10min. vanzelf oplossen... Anders komt het er nooit van.

De core draait wel dore. ;)
themadone @RoRoo13 februari 2025 14:04
Ik mag hopen dat een switch niet direct benaderbaar is vanaf internet. Zal wel een router zijn geweest denk ik.
Hennie-M @themadone13 februari 2025 14:17
Deze exploits zijn alleen toe te passen op de webgui van de Cisco apparaten, dat zijn altijd* management interfaces en die zou je in een goed ontwerp nooit toe moeten laten staan aan gebruikers of gasten.

De uitzondering daarop zijn de WLC/Wireless Lan Controller voor je guest portal.
themadone @Hennie-M13 februari 2025 14:29
Dus eigenlijk kan het alleen als de Chinezen met een laptop naast het gebouw stonden of via een sowieso beroerde config gebeuren. Scheelt weer, misschien handig om dat ook ff in het artikel te vermelden voortaan.....

Wordt vaak onnodig paniek gezaaid hier en dan blijk je wel echt 0 best practices te moeten toepassen wil een exploit effectief zijn. Tijdje terug met exchange eentje waar je dan wel eerst even werkende credentials voor moest hebben enzo, maar het dan doen overkomen als een gekke 0 day waarmee ze zo je systemen binnen lopen.
Hennie-M @themadone13 februari 2025 14:37
in de OWASP top 10 van 2021 staan misconfiguratie en insecure design op top 4 en 5. Wellicht was er een apart testdomein van de TU met een misconfiguratie publiekelijk beschikbaar. Kwalijke zaak en had bij een pentest naar voren moeten komen.

Maar als het alleen een testdomein is zonder data is er eigenlijk ook niet heel veel aan de hand (Business Impact).
Goede media boost voor dat onderzoeksbureau en een wijze les voor alle dames en heren van de C-Suite om geld vrij te maken voor Security mensen die samen met/ naast de reguliere ICT dienst gaan werken.
Edit: ik mis de link van dat onderzoeksbureau, dus eigenlijk weten we helemaal niets.

[Reactie gewijzigd door Hennie-M op 13 februari 2025 14:38]

DeCo @themadone13 februari 2025 14:39
Het zou naïef zijn om te denken dat het je niet gebeurt, want het is maar een 0-day die alleen achter werkende credentials te exploiten is. Die credentials kan een lage drempel zijn voor een beetje hacker. Dan ligt het veld daarna helemaal voor 'm open.
themadone @DeCo13 februari 2025 15:01
in dit geval gaat het om een beheersinterface die open moet staan voor de hele wereld, dat is een hele grote no no natuurlijk.

Bij exchange was het toen ook zo dat buiten de credentials ook nog een keer remote powershell interface beschikbaar moest zijn van buitenaf als ik het me goed herinner.
tweazer @RoRoo14 februari 2025 22:19
Tja, binnen kantoortijd is het misschien wat opportuun, maar een lunchpauze, 's-avonds of in het weekend moet een 5 minuten outage prima te plannen zijn ...Slordig beheer ...
MagicTempest @anpat13 februari 2025 14:05
Ja, dat is achterstallig onderhoud. Maar het is soms niet zo eenvoudig om switches te upgraden voor sommige organisaties. Vooral een overdreven risicomijdend change advisory board kan nog wel eens dergelijke updates met maanden, zo niet jaren, vertragen.

Management heeft ook vaak de houding van ons zullen ze toch niet hacken.
Frame164 @MagicTempest13 februari 2025 15:21
Sysadmins zitten ook niet te wachten op upgrades en updates. Dat betekent alleen maar werk... Maar het is altijd makkelijker om het management de schuld te geven.
MagicTempest @Frame16413 februari 2025 15:37
Ik ken genoeg netwerkbeheerders die echt wel willen upgraden, maar die tegen worden gehouden door de business omdat het netwerk niet plat mag gaan. Ook niet buiten kantoortijden. Absoluut zijn er beheerders die gewoon geen zin hebben om te upgraden, maar in mijn ervaring is dat een minderheid.
Polderviking @MagicTempest13 februari 2025 16:12
Ik zou naarstig naar ander werk gaan zoeken als iemand straffeloos mijn "expertise" rond updates gaat zitten overrulen met overgevoelige kul rond productieverlies.
Vooral omdat het vervolgens wel die netwerkbeheerder is die uit zijn nest gelicht wordt als er wat mis gaat.

Regel maar gewoon en onderhoudswindow.
Ik zou echt niet wakker gehouden willen worden door kennis van issues die elk moment kritieke ellende kunnen geven.
Zeker binnen zo'n organisatie met een hoger risicoprofiel zoals een technische uni.

[Reactie gewijzigd door Polderviking op 13 februari 2025 16:21]

Botmeister @anpat13 februari 2025 15:03
Uni heeft veel meer te besteden dan jij denkt. Meer als menig commercieel bedrijf. Ga maar eens op zoek naar de jaarlijkse exploitatiebegroting. Cijfertjes zijn openbaar dus die kun je zo vinden.

Wat niet duidelijk wordt in het artikel is: welk netwerk is geraakt? Onderwijsinstellingen hebben aparte netwerken draaien voor lessen en onderzoek. Je kunt geen les geven aan klas 1B over DNS Security als je in hetzelfde netwerk zit als waar de financiële administratie op draait.
Noresponse @anpat13 februari 2025 14:12
Ik zat daar ook aan te denken, maar mijn ervaring met amerikaanse hardware dat er wel eens meer holes zijn die soms niet geupdate worden en pas al het ontdekt wordt dan komen er opeens patches. Nu is het wel zo dat TU achterliep op het patchen geeft het bedrijf aan dat dit heeft gecontroleerd.

[Reactie gewijzigd door Noresponse op 14 februari 2025 15:39]

eettjjuuhh @Noresponse13 februari 2025 14:15
Misschien toch even zoeken naar die artikelen voordat je eea roept?
Ximon @anpat13 februari 2025 19:09
Ja, maar het komt voor, zelfs met dit soort oude bugs. Voor aanvallers hoeft het maar 1x te lukken.
kaas-schaaf 13 februari 2025 14:33
Zeker niet de eerste keer. In het verleden toen ik nog bij de TU bibliotheek werkte gingen alle servicepunttelefoonnummers door naar ons na kantooruren. Krijg je 's avonds laat een natuurkundeprof aan de lijn die af vraagt waar hij moet melden dat iemand met een Chinees IP in zijn honeypot zit en dat er probes op andere servers uitgevoerd worden uit dezelfde range. Toentertijd was er geen noodnummer dus gewoon afhouden en volgende ochtend melden als de netwerkmensen er weer zijn :/
psdata 13 februari 2025 14:34
Ja men hoort te patchen, maar dat kan door de organisarie nog wel eens worden tegen gehouden.
Maar deze CVE betrof een issue in the web gui van een een cisco product.
In de meeste geval staat staat http server (acces naar de webgui) uit
Check dmv :
Router# show running-config | include ip http server|secure|active
no ip http server
no ip http secure-server
dit was ook beschreven als work around
(https://sec.cloudapps.cis...xe-webui-privesc-j22SaA4z
een tweede work arround is om er een acces list op te zetten
!
ip http access-class 75
ip http secure-server
!
access-list 75 permit 192.168.0.0 0.0.0.255
access-list 75 deny any
!
dit kun je zo stroomlijnen als je wilt, bv door aleen een bepaald subnet op geven va waaruit beheer word gedaan.

Als je niet update en het wel gebruikt dan zou ik deze laaste optie toch wel aanraden, want het moet toch wel door een "a man inside" vanuit het locale netwerk gebeuren.
En ja, en dan komt het dat je ook een intern beheer netwerk zou moeten defineren.

[Reactie gewijzigd door psdata op 13 februari 2025 17:00]

graaij 13 februari 2025 16:46
Sorry, maar dit is gewoon reclame voor Recorded Future.

Uit het stuk: "Ook apparaten van de TU Delft zijn doelwit geweest, stelt beveiligingsbedrijf Recorded Future." en
"Onderzoekers van Recorded Future zagen tussen december 2024 en januari dit jaar hoe de cybercriminelen probeerden om meer dan duizend Cisco-apparaten wereldwijd aan te vallen. Het is onduidelijk of die aanvallen succesvol waren."

Wat wordt er nu vertelt mbt de TU? Alleen feitelijk dat er een poging is gedaan. Dank je Tweakers om dit no-news over te nemen
kodak
@graaij13 februari 2025 23:37
Waarom trek je alvast een negatieve conclussie terwijl je nog niet eens antwoord hebt op je vraag? Want zowel je vraag als de mogelijke antwoorden zijn van belang voor de verschillende mogelijke conclussies.

De bron vermeld details. De criminelen vallen meerdere soorten bedrijven en organisaties aan waarbij het kennelijk opvalt dat de genoemde universiteiten daar onder vallen. En dat soort details kan je bijvoorbeeld te weinig vinden of niet bijzonder, maar daarom is er kennelijk ook om een reactie gevraagd.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq