Fout in routers wordt al gebruikt voor aanvallen

Afgelopen week waarschuwden Cisco en CERT/CC voor een fout in de software van een aantal routers waardoor deze gebruikt zouden kunnen worden voor een DoS-aanval. Bij Reuters valt nu te lezen dat er de afgelopen dagen inderdaad een aantal aanvallen zijn geweest. Volgens Shawn Hernan, senior medewerker van CERT/CC's staf, is er echter nog geen enkele aanval ook daadwerkelijk gelukt. Een medewerker van Symantec voegt hier aan toe: "Het aantal aanvallen is aan het toenemen en de doelen zijn steeds vaker belangrijke knooppunten in het internet." Het is dus zaak dat bedrijven die gebruikmaken van Cisco-routers de software daadwerkelijk upgraden, aldus C|Net. Cisco-routers worden namelijk in 80 tot 90 procent van alle (inter)netwerken gebruikt en vormen daarmee een groot potentieel doelwit:

"Any hardware that is so widely deployed that is under attack can cause major network disruption," she said. Ahlawat believes that because Cisco found the problem through internal testing and managed to give Internet service providers advanced notice of the issue, there is a good chance that the worst danger is past.

However, security companies don't seem so sure. While ISPs have been rushing to fix Cisco routers, it's unknown how quickly corporations and online retailers have worked to fix their networks.

Lees meer

Reacties (33)

RainbowSix 19 juli 2003 14:34

Toch is het zeer jammer dat er mensen zijn die misbruik maken van deze fout in de firmware van routers. Zeker om dat fouten in firmware en de noodzaak om up-te-daten vaak wordt onderschat. Maar behalve het instaleren van patches om beveiligings lekken te dichten wordt dit door systeembeheerders vaak 'vergeten'.

PolarBear @RainbowSix • 19 juli 2003 15:30

Je gaat niet zomaar upgraden zonder noodzaak. Het gaat niet om een workstation ofzo. Het gaat hier om de ruggegraat van het netwerk.

Zeker Cisco IOS ga je niet ruchtzichlos upgraden. Cisco heeft wel meer bugs...

FatalError @PolarBear • 19 juli 2003 17:37

Ik ben niet helemaal goed op de hoogte, maar ik dacht dat Cisco 2 series van de software heeft.
1 door-en-door geteste en stabiele serie en 1 serie met nieuwe functies en speeltjes.
Volgens mij zit je met n versie uit de geteste serie altijd goed.

burne @FatalError • 19 juli 2003 22:55

Inderdaad. Je bent echt niet goed op de hoogte. Cisco heeft geen twee maar 8 release-tree's, maal zes life-cycle punten en het merendeel daarvan is kwetsbaar voor deze bug.

NEn

19 juli 2003 14:21

Het was natuurlijk wachten op een bericht als dit na het vorige over de kwetsbare Cisco-routers.

Probleem is gewoon dat er mensen zijn die hun hardware niet registreren, en dus ZELF uit zullen moeten vinden DAT ze überhaubt moet upgraden. Als jij als Systeembeheerder een weekje op vakantie bent, en je vervanger heeft dat nie door, dan bestaat de kans dat je het nooit, of pas over een paar maanden toevallig een keertje ergens tegenkomt....
Nu zal dat bij "grote" internetproviders wel niet zo snel het geval zijn, maar denk dat zeker kleine bedrijfjes/instellingen op dit punt toch het kwetsbaarst zijn

Verwijderd 19 juli 2003 17:39

(Ik weet dat het hier niet om huistuinenkeukenrouters gaat maar toch: )

Laatst vroeg ik me nog af waarom ik een prima E-tech routertje heb gekocht voor 50 euro, terwijl er ook routers zijn van 1000 euro

Zelfs het feit dat daar vier keer zoveel poorten op zitten rechtvaardigt dat verschil niet, vond ik. Okee, okee, de mijne is een basic routertje voor thuisgebruik, maar waarin zit nou de meerwaarde van een Cisco/3com/etc router? Best een ironische situatie nu ik dit bericht lees..

Verwijderd @Verwijderd • 19 juli 2003 17:59

Cisco routers zijn bekend bij de meeste systeem-/netwerkbeheerders, ook is wel degelijk verschil in kwaliteit tussen een E-Tech routertje en een Cisco router.

Als ik 100% uptime wil hebben voor een bedrijfskritiek proces kies ik toch liever voor Cisco dan E-Tech.

Ik zeg natuurlijk niet dat E-Tech rotzooi is: voor thuisgebruik perfect, maar in het bedrijfsleven?

Verwijderd @Verwijderd • 20 juli 2003 01:01

Allereerst en zoals eerder beschreven zijn jouw e-tech routertje en een grote cisco router nauwelijks met elkaar te vergelijken. Da's hetzelfde als een walvis vangen en dan zeggen dat een hengeltje veel goedkoper is als een gigantische schip met explosieve harpoenen

Waar jij genoeg hebt aan het routeren van hooguit 8mbit (als je zo'n snel ADSL abonnementje hebt) kan er door een beetje grote router honderden GB's aan data gerouteerd worden. Dat vereist toch wel specefieke hardware (snelle processor, specefieke netwerkkaarten) en zoals met alles wat erg specefiek is, is het ook duur.

Jheroun @Verwijderd • 21 juli 2003 13:05

Er zitten best veel verschillen tussen een Etech en een Cisco/Juniper, ik noem er een aantal.

- Poorten; Etech heeft geen blades met 1G of 10G poorten.
- Aansluitingen; Etech werkt waarschijnlijk niet met fibers maar alleen met utp.
- Laag 2 Protocollen; Volgens mij doet Etech geen ATM/POS.
- Routeringsprotocollen; Voor je thuisnetwerk heb je geen ospf/bgp nodig, een ISP heeft dat wel nodig.
- Performance; Een flinke ISP wil meerdere gigabitten door een router heen kunnen gooien, daar ook access lists overheen laten draaien en verschillende pakketten naar verschillende kanten sturen. Dat kan een Etech niet. Een Cisco ook niet, dus doe jezelf een lol en koop een Juniper

Overigens heeft een ISP geen routers van 1000 Euro. Voor een beetje flinke bak met een paar Gig kaarten mag je daar nog zeker twee nullen aan toevoegen.

Verwijderd 19 juli 2003 14:20

En dat zal na het plaatsen van het artikel op tweakers alleen nog maar meer geworden zijn vermoed ik

Verwijderd @Verwijderd • 19 juli 2003 20:33

Ik dacht dat ISP's intelligente switches gebruikten ipv routers en dan nog voornamelijk die van Foundry Networks ipv Cisco wat meer iets was voor de hobbybob en de MKB omgevingen.

arjankoole @Verwijderd • 21 juli 2003 08:44

Ik dacht dat ISP's intelligente switches gebruikten ipv routers en dan nog voornamelijk die van Foundry Networks ipv Cisco wat meer iets was voor de hobbybob en de MKB omgevingen.

nee, een hoop core routers zijn van cisco, en ook cpe's zijn vaak uitgerust met cisco routers. (denk aan huurlijn en de duurdere xDSL varianten).

op de AMS-IX e.d. zie je ook Extreme Networks opduiken, en fore kom je ook regelmatig tegen, maar binnen het netwerk van de ISP waar een hoop dingen op 100Mbit lopen (behalve dingen als newsfeeders, en zelfs die draaien regelmatig op 100mbit) is het vaak genoeg cisco, en daar is ook weinig mis mee, cisco levert goed spul, alleen heb je wel eens een IOS bug. Kan iedere leverancier overkomen en het komt lang niet zo vaak voor.

op de AMS-IX heeft AMS-IX zelf wel een zwik Foundry big-irons staan, hoe dat zit bij de ISP's die er op aangesloten zitten weet ik niet, ik weet alleen dat wij ze niet gebruiken. (we hebben die dingen namelijk niet nodig om een goed netwerk op te bouwen)

Jheroun @arjankoole • 21 juli 2003 12:48

Partijen die daar peeren hebben geen switch staan maar een router, switches babbelen meestal geen BGP. Maar slimme partijen hebben daar ook geen Cisco staan maar een Juniper. Onze Cisco 12000 hangt daar in ieder geval al een tijdje heel erg uit te staan :-)

Maarten @klet.st @Verwijderd • 19 juli 2003 22:12

Cisco verkoopt prima 'intelligente' (Layer3 doel je op, gok ik) switches hoor, die ook vulnerable zijn overigens

.

Cisco wordt juist minder in het MKB gebruikt (vanwege de hoge prijs), maar eerder in het hogere segment. Hobbybob's kopen vaak tweedehands Cisco apparatuur om ervaring mee op te doen..

Foundry (en Juniper of Extreme) worden inderdaad ook meer en meer verkocht, maar feit blijft dat Cisco nog steeds enorm populair is. Daarnaast hebben veel ISP's in de internet zeepbel (te)veel geinvesteerd in hun routers/switches, waardoor ze voorlopig niet meer hoeven

Daardoor blijft het marktaandeel van Cisco nog wel een tijdje hoog staan..

Verwijderd @Verwijderd • 19 juli 2003 23:14

Zit wel waarheid in, als iemand een fout ontdekt weet hij het en verteld het aan ongeveer 6 mensen door. hooguit meer op een kleine website. maar als dit soort nieuws wereldwijd bekend word weten miljoenen mensen het die dan weer zelf gaan zoeken naar de fout en die gebruiken.

Eigenlijk is dit soort media slecht voor internet, maarja...we willen wel weer alles weten of niet dan?

Jheroun @Verwijderd • 21 juli 2003 12:53

Dit maakt helemaal niets uit voor internet. Het gebruiken van deze exploit vereist namelijk voldoende clue en al die ddossende script kiddies van 14 hebben dat niet.

Bovendien is iedereen donderdag druk bezig geweest om te zorgen dat iossen geupgrade werden en foute pakketten geloost aan de rand van het netwerk.

Volgens mij zijn er in het geheel geen gevallen bekend waarbij er echt interfaces plat zijn gegaan, er zijn alleen pogingen tot geweest van mensen die niet snapten hoe het moest :-)

Maarten @klet.st @Verwijderd • 19 juli 2003 22:07

De kans op success (voor de crackers) wordt alleen steeds kleiner, aangezien de meeste ISP's donderdag/vrijdag als de sodemieterij maintenance hebben aangekondigd (in het eerst volgende maintenance window), waardoor de meeste routers die interessant voor crackers zijn nu wel gepatched zijn, of tenminste voorzien van de juiste ACL's.

Schnautzi 19 juli 2003 14:22

Ik vermoed dat het probleem zich alleen maar zal verharden ,
Mede door de opstelling van de media en de negatieve publiciteit die er aan gegeven is ...
En ook nog een beetje het afzwakken van de internationale hackerscontest ....dit heeft toch wel een beetje kwaad bloed gezet ,
Ik hoop dat het op korte termijn niet veel consequenties gaat hebben , maar ik ben bang dat er toch meer berichten als deze zullen volgen..., omdat bedrijven toch vaak , beveiliging van routers niet afdoende voor elkaar hebben !

Verwijderd @Schnautzi • 19 juli 2003 15:00

Nou ja, in dit geval kun je de admins moeilijk de schuld geven lijkt me.

En hackers maken ook geen misbruik van deze exploit want routers lamleggen hebben ze ook niets aan.

Verwijderd @Verwijderd • 19 juli 2003 15:09

Hebben hackers dan wel iets aan een DoS op Google o.i.d.??
't is allemaal gewoon vandalisme, maar dan in elektronische vorm. Dat hoeft geen nut of reden te hebben...

Verwijderd @Schnautzi • 19 juli 2003 14:58

Begrijp van het hele DDOS princiepe niet veel om heel eerlijk te zijn. Wat is er nou leuk aan om een heel netwerk plat te leggen? Vooruit, kan er nog inkomen dat je je kennis wil testen op iets groots maar uiteindelijk is het in je eigen nadeel. Tuurlijk zal zo'n pipo de clown niet z'n eigen gateway gaan bestoken en proberen down te gooien. Dat zou zelfmoord zijn. Maar als het te ver gaat zullen er toch wel behoorlijk wat mensen er last van ondervinden. De happy few maken het dus weer erg onmogelijk voor the unhappy many.
Vraag me trouwens af in hoeverre de introductie van IPv6 hier eventueel een halt aan kan roepen. Anyone?

Jheroun @Schnautzi • 21 juli 2003 12:55

Van die hackercontest heeft echt helemaal niemand iets gemerkt hoor, volgens mij, dus dat afzwakken was wel terecht

Verwijderd 19 juli 2003 14:39

Gelukkig is er dus nog een exploit beschikbaar, en zijn de aanvallen alleen van mensen die maar wat proberen....

Als er een exploit beschikbaar komt, of iemand die nu aan het proberen is komt er achter en schijft een exploit, dan hebben we stront aan de knikker...

jochemd @Verwijderd • 19 juli 2003 14:46

Hoe bedoel je Als er een exploit beschikbaar komt? Die is al lang en breed bekend en gepubliceerd. Om maar even te citeren uit een mailtje van CERT-NL van gisteren:

binnen dertig uur nadat Cisco de oorspronkelijke tekst op donderdagochtend om 4:40 bij CERT-NL bekend maakte is de exploit gereconstrueerd en gepubliceerd.

TheEmperor 19 juli 2003 15:04

Dit is een naar gevolg van Cisco's schijnbare monopoly op de (internet) router markt. Als we allemaal afhankelijk zijn van een bedrijf or produkt kan dit gebeuren. Als er meer verschillende routers waren, zou het in theorie geen probleem moeten zijn als een paar routers down gebracht kunnen worden.

In ieder geval verbaast dit me een beetje. Ik dacht dat juniper een flink deel van Cisco's markt had weg gesnoept, maar blijkbaar heb ik het verkeerd.

jep @TheEmperor • 19 juli 2003 16:12

Waar ik het kan zien bij internet/hosting bedrijven en dergelijke is Juniper toch wel groter aanwezig denk ik. Bij toko's als level3 en MFN enzo zou 't kunnen dat Cisco nog overheerst. Helaas

Verwijderd 19 juli 2003 23:06

Het word eens tijd dat internationaal de strafmaat voor attacks/hackers flink omhoog gaat, zowel gevangenis straf als geldboete's.

Vaak zijn het niet de de die hard hackers die aanvallen uitvoeren maar de noobs die denken leuk te kunnen doen.

Ook moeten alle site's offline gehaald worden waar maar informatie te vinden is over hacking tools en gebruiks aanwijzingen. Ik weet, we leven in een vrije wereld, maar er zijn grenzen, ondanks dan alle grenzen juist meer vervagen

Anyway, strafmaat omhoog, enigste oplossing.

Jheroun @Verwijderd • 21 juli 2003 13:07

Als jouw netwerk over de zeik geholpen wordt door een of andere stupide bug dan moet je de persoon die hem uitbuit niet levenslang in de gevangenis gaan zetten, daar los je geen bugs mee op.

Het is misschien irritant maar al die kiddies zorgen wel dat iedereen z'n zooi netjes up to date houdt.

En zoals ik al eerder zei, die kiddies weten niet voldoende om van deze exploit gebruik te kunnen maken.

Verwijderd 19 juli 2003 19:31

het heeft meer te maken met de configuratie mogelijkheden die zo'n ding heeft en de hoeveelheid usage druk en mogelijkheden wat ze duur maken... fibre utp etc aansluitingen en natuurlijk de naam Cisco want HP leverd ook prima routers die soms stukken goedkoper zijn.

http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml

raymonvdm 19 juli 2003 15:33

Volgens mij is het niet bij alle modellen van cisco maar bij een aantal ?

Verwijderd @raymonvdm • 19 juli 2003 15:51

goed gelezen. dat stond zelfs in de eerste zin van het bericht.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (33)

Sorteer op:

Weergave: