Cisco waarschuwt voor zero day-lek uit Shadow Brokers-dump

[Captain Kirk]

Cisco heeft netwerkbeheerders gewaarschuwd voor een zero day-beveiligingslek in de Adaptive Security Appliance (ASA) software dat deze week op internet verscheen en waardoor een aanvaller in het ergste geval de netwerkapparaten kan overnemen. Een beveiligingsupdate is nog niet beschikbaar.

De ASA-software bevindt zich in in allerlei netwerkapparaten van Cisco, zoals firewalls, security appliances en routers. Deze week kwam een groep die zichzelf Shadow Brokers noemt met een dump van allerlei tools, bestanden en informatie die van de Equation Groep afkomstig zou zijn. Deze groep zou banden met de Amerikaanse NSA hebben en allerlei zeer geavanceerde malware hebben ontwikkeld. Volgens het Russische anti-virusbedrijf Kaspersky Lab zijn de bestanden in de dump van Shadow Brokers zo goed als zeker van de Equation Group.

Shadow Brokers biedt de verkregen bestanden en tools nu tegen een bedrag van 1 miljoen bitcoins aan. Er is echter een dump met enkele bestanden en tools beschikbaar gemaakt. Daarin bevindt zich ook een exploit voor een onbekend beveiligingslek in de ASA-software van Cisco. Het gaat om een kwetsbaarheid in de Simple Network Management Protocol (SNMP) code van de ASA-software waardoor een aanvaller zonder inloggegevens op afstand kwaadaardige code kan uitvoeren.

Om de kwetsbaarheid aan te vallen moet een aanvaller speciaal geprepareerde SNMP-pakketten versturen. Vervolgens kan er willekeurige code op het netwerkapparaat worden uitgevoerd en kan de aanvaller het systeem volledig overnemen, aldus Cisco. Systemen zijn alleen kwetsbaar als ze in de "routed and transparent firewall mode" zijn ingesteld. De netwerkgigant werkt aan een beveiligingsupdate, maar adviseert in de tussentijd om alleen betrouwbare gebruikers SNMP-toegang te geven.

In de Shadow Brokers-dump bevond zich ook een andere exploit voor Cisco's ASA-software. De kwetsbaarheid waar hierbij gebruik van wordt gemaakt is vijf jaar geleden al gepatcht, aldus Omar Santos van Cisco. Toch heeft de netwerkfabrikant een security advisory naar buiten gebracht met informatie over de recente ontwikkelingen en het advies aan netwerkbeheerders om de betreffende update te installeren.

Fortinet

Ook netwerkfabrikant Fortinet kwam met een beveiligingsbulletin. Naast de producten van Cisco waren ook producten van deze partij het doelwit van de Equation Group. Het gaat om een kwetsbaarheid in de firmware van netwerkapparaten waardoor een aanvaller de systemen kan overnemen. Het probleem is in augustus 2012 al verholpen en netwerkbeheerders krijgen dan ook het advies de firmware van hun apparatuur te updaten.

 

 

bron: security.nl