Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties
Bron: SecurityFocus

Terwijl veel bezoekers van de Def Con-hackersconferentie zich zaterdagavond vol lieten lopen, zonderden een aantal zich met hun laptops af om samen te proberen de veiligheidslekken in Cisco-routers bloot te leggen die Michael Lynn afgelopen week wilde presenteren maar wat hem door Cisco werd verboden. Cisco-routers regelen het verkeer op zo'n zestig procent van het internet. De problemen doen zich naar verluidt voor in de manier waarop met IPv6-verkeer wordt omgegaan, waardoor speciale datapakketjes een hacker in staat stellen controle over de router te verkrijgen. Cisco heeft weliswaar patches uitgebracht maar het is de vraag of die overal tijdig geïnstalleerd zullen zijn.

internetterrorist Het is onduidelijk wat de ernst en het bereik van het probleem is. Volgens Cisco beperkt de mogelijkheid van kwaadaardige toegang zich tot lokale stukken netwerk, maar Lynn en anderen menen dat dat een zoethoudertje is en dat toegang op afstand wel degelijk mogelijk is. Als Cisco geen informatie wil geven over hoe de bugs geëxploiteerd kunnen worden dan vissen we het zelf uit, redeneren de betreffende conferentiegangers. 'Het zal ons geen zes maanden kosten om te ontdekken wat Michael Lynn heeft gedaan', aldus een van de hen. De hackers willen Cisco-klanten ermee op het belang wijzen hun software te updaten, iets wat velen uitstellen omdat de lastige klus het nodig kan maken de stekker tijdelijk uit het web te trekken.

De hackers hebben voor zover bekend nog geen succes geboekt. Ondertussen is Cisco druk doende om Lynn's presentatie, genaamd 'The Holy Grail: Cisco IOS Shellcode and Remote Execution', van het internet te weren. Verschillende websites kregen telefoontjes van Cisco-advocaten te verwerken en verwijderden de presentatie. Zoals te verwachten lijkt de PDF-file echter op evenzovele andere sites op te duiken.

Moderatie-faq Wijzig weergave

Reacties (43)

Zo snel zullen ze in rusland niet reageren op amerikaanse advocaten:

http://www.security.nnov.ru/files/lynn-cisco.pdf

niet slashdotten aub.
Ach, waarom zo ver weg zoeken als het ding nog steeds gewoon hier op tweakers staat?

* 786562 kidde
krijgt Tweaker.net hier dan geen problemen mee? Aangezien de advocaten al druk bezig zijn om de PDFs te laten verwijderen (lijkt me onbegonnen werk, eenmaal op internet is het moeilijk weg te krijgen)
Cisco heeft een uitgebreide informatiepagina opgezet.

De patches zijn hier overigens niet verkrijgbaar; die zal je via het normale service-kanaal moeten verkrijgen, ofwel contact opnemen met Cisco. (Op dezelfde site staat overigens wel dat het "free for all Cisco customers" is, waar ik in lees dat het ook voor Cisco-eigenaren zonder servicecontract beschikbaar is.)
Ik kan me ook niet voorstellen dat je frimware upgrades niet beschikbaar stelt voor alle gebruikers van je hardware. 't blijft slechte reclame als je appararuur gehacked wordt. :P
Dit is leuk uit de presentatie:

1. Get Execution
2. Clean Up What We Broke
3. Spawn Process
4. Allocate And Setup TTY
5. Make Connect-Back TCB
6. Start Shell
7. Kill Logger Process
8. Exit Initial Process
9. World Domination }>
De downtime bij het patchen zal verwaarloosbaar zijn als je router misbruikt zou worden door dat er je de patch niet geinstalleerd hebt.
leuk allemaal maar als je gepakt wordt voor het verstoren van internetten van duizenden klanten ben je wel heel goed de sjaak als ze je pakken. Serious shit dus.
Ik betwijfel of je dan überhaupt gepakt kunt worden aangezien je de access-log op de router ook kunt verwijderen als je daar remote access naar hebt.

Verder willen deze hackers alleen aantonen dat het nodig is dat de grote bedrijven hun hardware updaten. Pas als kwaadwillende aan zulke zaken beginnen moeten we bang gaan worden. Helaas duurt het nu steeds minder lang voordat zoiets gebeurt, dus het is imho nu afwachten tot wanneer het echt mis gaat.
Ook proberen is illegaal, ongeacht goede bedoelingen. Maar hackers zullen inderdaad wel zo slim zijn om sporen te verdoezelen terwijl ze toch laten zien dat het kan.
Proberen is niet illegaal, mits je toestemming hebt van de eigenaar van de router. Daarbij willen deze hackers geen schade toebrengen aan het internet maar simpelweg het internet veiliger maken. Door de manier te vinden om deze exploit te gebruiken zien klanten dat het nodig is om hun routers softwarematig te upgraden. Dat is het doel van hackers, crackers hebben echter minder nobele doelen -> inbreken op systemen en controle overnemen/gegevens jatten en dergelijke dingetjes. Echte hackers zoeken fouten zonder kwaadaardige bedoelingen.
je kan ook naar andere machines loggen hoor :) dan is het log op de router zelf wel weg maar is er nog een kopie op een andere bak (gaat vrij realtime)
de echte ja, maar wannabee's, met scriptjes enz, denken daar mss niet aan

en dat dan mss een kleine vis, maar hij/zij gaat wel mogen betalen
Precies, Cisco mag dus wel uitkijken dat ze niet worden aangeklaagd wegen willens en wetens leveren van onveilige hardware.
Waarom? Cisco heeft al een tijdje een patch uit, het probleem is alleen gewoon dat veel bedrijven/instellingen gewoon de patch niet installeren puur omdat dan de stekker er even uitmoet en down time is tering duur.

Kortom, cisco wilt gewoon niet dat de details van deze hack boven water komt puur om hun bestaande klanten te beschermen zodat ze niet verplicht op korte termijn even de stekker eruit te hoeven trekken. Dat dat op lange termijn genoodzaakt is lijkt me wel logisch.
Waarom? Cisco heeft al een tijdje een patch uit, het probleem is alleen gewoon dat veel bedrijven/instellingen gewoon de patch niet installeren puur omdat dan de stekker er even uitmoet en down time is tering duur.
Het lijkt misschien zo makkelijk maar helaas zit het in de praktijk niet zo in elkaar. Je moet Cisco programmatuur niet vergelijken met een Windows XP systeem waarbij je gewoon de upgrade kunt installeren, rebooten en verder gaan. Het is namelijk behoorlijk complexer.

Het probleem is momenteel dat circa 60% van de internet knooppunten geregeld wordt door Cisco programmatuur ( heb ik vanochtend gehoord op het nieuws ) en deze exploit schijnt invloed te hebben op een aanzienlijk percentage van de gebruikte Cisco hardware. Je kunt niet simpelweg 1 router per keer updaten zodat de up- en downtime mee gaat vallen. Dit soort configuraties zijn zodanig complex waardoor men verplicht wordt om alles in één keer te updaten. Alvorens men dit kan doen dienen er eerst uitgebreide tests te worden gedaan om duidelijk te krijgen wat deze patch van invloed zou kunnen hebben op de gehele configuratie. Dus de patch mag misschien enkele weken of maanden beschikbaar zijn, maar enorm veel bedrijven zitten niet te wachten om direct alles te updaten en te hopen dat het goed gaat zonder andere problemen.
Kortom, cisco wilt gewoon niet dat de details van deze hack boven water komt puur om hun bestaande klanten te beschermen zodat ze niet verplicht op korte termijn even de stekker eruit te hoeven trekken. Dat dat op lange termijn genoodzaakt is lijkt me wel logisch.
Cisco zou ondertussen moeten weten dat de informatievoorziening vanuit het Internet niet te stoppen is (en op een zodanig efficiente manier dat mede door hun hardware gerealiseerd wordt :+ ) . Ze kunnen onder de DCMA diverse (Amerikaanse) websites dwingen om deze informatie weg te halen maar helaas zijn er nog vele landen waar dit soort informatie niet illegaal is.

De enige reden waarom Cisco zo hard bezig is om censuur uit te oefenen, heeft voornamelijk te maken met de reden wat ik eerder beschreef maar ook om hun te beschermen tegen eventuele claims uit de industrie. Hoewel Cisco zegt dat het niet zo gevaarlijk blijkt te zijn, vraag ik mij af waarom zij door middel van chantage hebben geprobeerd dat deze informatie niet naar buiten werd gebracht. Juist dit soort acties ( en de informatiestroom vanuit het Internet ) wakkerd de hackers aan om na te gaan hoe deze exploit werkt en welke gevolgen dit kan hebben ( iets wat Cisco nog steeds niet duidelijk naar voren heeft gebracht ).
Zo gebeurd??
Een Cisco met serieuze configuratie erin aanpassen duurt wel even hoor:
- Backup huidige config maken
- Nieuwe IOS installeren
- Rebooten
- Testen of bestaande config nog werkt
- Config aanpassen
- Rebooten

Bij kleine aanpassing ben je altijd nog een paar minuten bezig. En bij een ISP staat er niet één, maar een stuk of tig. Dus dan is 2 minuten per router al gauw een paar uur downtijd.
@ iedereen die zegt dat rebooten niet "even" kan..

Dat klopt, maar een ISP of online webstore die hier genoemd worden gaan echt geen enorme overlast ondervinden van 1 router die reboot. Het netwerk zal niet sneller worden, maar in een failover netwerk kun je echt wel wat aparatuur rebooten zonder meteen het hele netwerk kwijt te zijn.

edit:
nwagenaar, dat is het typische excuus wat een luie sys/netwerk admin gebruikt. Je roept een hoop, maar je onderbouwt niets. [quote]
Dit soort configuraties zijn zodanig complex waardoor men verplicht wordt om alles in één keer te updaten.
[/quote] Leg mij maar eens uit waarom dit zo complex is dat je het niet in 1 voor 1 kan doen maar in 1 keer moet doen. _Als_ dit inderdaad gevaar oplevert voor 60% van het internet, dan is er geen enkel excuus waarom deze patch al zolang uit is en er niets mee is gedaan.

[edit2]
Je roept weer alleen maar dat het moeilijk en veel werk is. Geloof je meteen, maar wel uitleg graag. Dat grote bedrijven dit niet even tussendoor doen snap ik, dat is m'n punt ook niet. Maar gezien de tijd dat deze patch beschikbaar is en de aard van de bug hebben bedrijven tijd genoeg gehad gehad om te testen en gelet op het feit dat critieke netwerken niet enkelvoudig zijn uitgevoerd kun je best wat snelheid opofferen om een router te herconfigureren. Het is veel werk. Dat is waar, maar dat is een slap excuus. Admins worden betaald voor dit werk. En zeker ISPs zijn imo VERPLICHT dit soort patches uit te voeren. Alles wat je aanhaalt mbt testen geldt ook voor andere OSen.. dat weerhoudt MS/Linux/FreeBSD teams er niet van om om de zoveel tijd een update op te hoesten en als het een critieke bug op een webserver betreft kan een admin echt niet bij z'n baas aan komen zetten met de mededeling dat ie die server online gaat laten staan met remote bugs omdat 'ie het teveel werk vind.


Hey HEY! Flamet u even mee? :P (Overigens niet als flame bedoelt, maar het begint een fijne discussie te worden)
nwagenaar, dat is het typische excuus wat een luie sys/netwerk admin gebruikt. Je roept een hoop, maar je onderbouwt niets. Dit soort configuraties zijn zodanig complex waardoor men verplicht wordt om alles in één keer te updaten. Leg mij maar eens uit waarom dit zo complex is dat je het niet in 1 voor 1 kan doen maar in 1 keer moet doen. _Als_ dit inderdaad gevaar oplevert voor 60% van het internet, dan is er geen enkel excuus waarom deze patch al zolang uit is en er niets mee is gedaan.
Omdat mensen denken bij Cisco routers dat het gaat om een simpele routertje die ze kopen bij een P.C. boer. De 60% waar ik over praat, bestaan uit zeer geavanceerde en complexe configuraties bij grote bedrijven, banken, ISP's, hosting providers, etc en die zorgen voor zaken als internetknooppunten, koppeling van internationale netwerken binnen de financiele wereld, etc. Dit zijn dus geen huis, tuin en keuken routerers maar een combinatie van complexe configuraties en complexe Cisco hardware voorzien van backuproutering, failovers, etc waarbij eerst duidelijk moet worden of dit soort patches niet bepaalde en belangrijke configuraties om zeep helpen.

Aangezien Cisco zeker geen garanties zal afgeven dat deze configuraties na de patch/upgrade zal blijven functioneren, zullen dit soort organisaties testcases en testnetwerken op moeten zetten om de impact van deze patch/upgrade te testen op hun configuraties. Bovendien kan deze patch, behalve de oplossing van deze "exploit" wellicht ook wijzigingen voor andere onderelen met zich mee brengen en wat zou kunnen resulteren in andere problemen die nog groter van aard zijn.

En vanwege het gedrag van Cisco ben ik bang dat deze "kleine patch" wel eens heel ingrijpende gevolgen zou kunnen hebben voor routerconfiguraties. Je maakt mij niet wijs dat Cisco zodanig gebruikt maakt van al hun middelen (chantage richting de persoon die het bekend zou maken, dreigen met advocaten, etc) als het ging om een exploit die nagenoeg geen invloed zou hebben om Cisco apparatuur.
Ja maar als er echt iets verkeerd zit in de patch kan er toch iets gebeuren dat een gedeelte van het netwerk neerhaald. Dus moet je eerst testen, dan 1 installatie doen, een weekje wachten en als je geen problemen gezien hebt doe je elke dag/nacht een nieuwe.
Duurt per installatie mischien niet lang maar het totaal kan wel een paar maandjes duren.
meestal test je het niet live, maar maak je een test opstelling, daarna is het een kwestie van rebooten, je kunt een router zijn IOS ook van een tftp-server laten downloaden, dat scheelt wel wat inkloptijd.
@duinkonijn: eeuuh.. een reboot van een serieuze Cisco router duurt echt wel enkele minuten hoor .. is erg lang als je leeft van online sales.
>Je kunt niet simpelweg 1 router per keer updaten zodat de up- en downtime mee gaat vallen.
Was de kracht van IP niet dat als er een knooppunt uitviel het verkeer een andere route kan nemen?
OP zich hoeft je router helemaal niet zo lang down. Ik ga ervan uit dat de routers gewoon in read/write mode draaien (geen oude 2500's meer en geen 80X-en) zodat de ios gewoon draaiend ge-tftp'd kan worden.
Dus gewoon op je console server een script laten draaien die op alle routers inlogt (je doet toch gecentraliseerd management met een groot netwerk) en de IOS upgrade vanaf de tftp server die je voor al je managed-routers beschikbaar hebt.
En dit alles doe je in je maintenance window (iets dat altijd in het contract van de corporate klanten gedefinieerd staat, hier is tenslotte downtijd het ergst voor.

lijkt mij niet zo bijzonder, dus...

en ios-sen zijn altijd compatibel met oudere ios-sen
Was de kracht van IP niet dat als er een knooppunt uitviel het verkeer een andere route kan nemen?
Nee da's niet de kracht van IP. Da's de kracht van routing protocollen. Je hebt Routed protocollen (tcp/ip) en je hebt routing protocollen(rip, ospf,etc..). De routing protocollen zorgen ervoor dat de routers van elkaar weten waar de routed protocollen heen gestuurd moeten worden, en deze routing protocollen kunnen er evt. ook voor zorgen dat er een alternatieve route wordt gezocht als er een verbinding weg valt. Er kan echter ook aardig wat tijd overheen gaan voordat er een alternatieve route gevonden is door de routers doordat een router alleen maar kan communiceren met de next hop router.

(ff simpel uitgelegd)
downtime? tis geen server of zo.. reboten is zo gebeurd
Er zullen vast wel mafkikkers zijn die het experimenteren in het wild doen, maar een beetje hacker zorgt hiervoor voor een prive test omgeving. Zo kom je behalve veiliger ook sneller en makkelijker tot resultaten. En tja, als er dan wat gevonden is is er natuurlijk grote kans op gevaar voor de buitenwereld, maar of je dan makkelijk gepakt wordt.....
Cisco mag zich wel eens flink gaan afvragen of ze niet een andere strategie rond beveiliging moeten gaan hanteren om zichzelf en klanten veilig te houden.
Vraag me af met wie Ciso nu ruzie heeft, met die Michael of die hackers.
Als Cisco niet uitkijkt hebben ze straks ruzie met zo ongeveer de hele wereld. En wanneer blijkt dat er ernstige bugs in hun apparatuur zitten die door hackers uitgebuit kunnen worden hebben ze een heel groot probleem. Het is niet altijd verstandig dit soort bugs naar buiten te brengen, vandaar Cisco's reactie natuurlijk.

Zelfs als het niet waar is, door zo'n stunt loopt je imago een deuk op en da's altijd bad for business. Het zal Cisco veel moeite en tijd en geld kosten dit weer op te krikken.

Ik weet niet in welke mate Cisco (of welke andere fabrikant dan ook) verantwoordelijk gesteld kan worden voor de betrouwbaarheid en veiligheid van hun product.
Iemand die daar iets over kan zeggen.
Wat nog minder verstandig is dan "de bugs naar buiten brengen", is er geheimzinnig over blijven doen, en met alle mogelijke onmacht proberen de publicaties van het internet te houden (dweilen met de kraan open?)

imho wek je op die manier alleen maar meer argwaan, dan wanneer je zogezegd even met de billen bloot moet.
leuk als hier voor een automatisch update system voor maken :P

hier volgt een tijd balk

|invoering systeem|opmerking systeem|gehackt systeem|
0:00 0:01 0:02
:Y)
0:00 iemand hacked update systeem
0:01 opmerking systeem
0:02 reboot
0:04 world domination
Pas op, je mag dus onder geen enkele voorwaarde "The Holy Grail: Cisco IOS Shellcode and Remote Execution" in google gooien !
Ja, want de eerste link die google dan weergeeft is deze:
www.security.nnov.ru/Fnews57.html
en daar is de pdf te downloaden :P
Hier kon sisco dus op wachten naar hun paniek reacties om trend de presentatie van Michael Lynn.
Kort geleden is mijn reactie met link over windows update verwijderd.


Admin-edit:
Bedankt voor de hulp, maar linken naar illegale content vinden we nog steeds niet fijn . . .
(en iedereen die Google een beetje kan bedienen vind zijn weg zelf wel)

Ben benieuwd wat er nu gebeurt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True