Cisco heeft onlangs aangekondigd dat het geen software-updates zal uitbrengen voor een kwetsbaarheid met zijn Universal Plug-and-Play (UPnP)-service in Cisco Small Business RV110W-, RV130-, RV130W- en RV215W-routers.
Door de kwetsbaarheid kan een niet-geverifieerde, externe aanvaller willekeurige code uitvoeren of een getroffen apparaat onverwacht opnieuw opstarten, wat resulteert in een denial of service (DoS)-toestand.
“Dit beveiligingslek is te wijten aan onjuiste validatie van inkomend UPnP-verkeer. Een aanvaller kan misbruik maken van dit beveiligingslek door een vervaardigd UPnP-verzoek naar een getroffen apparaat te sturen. Een succesvol misbruik kan de aanvaller in staat stellen willekeurige code uit te voeren als de rootgebruiker op het onderliggende besturingssysteem of ervoor zorgen dat het apparaat opnieuw wordt geladen, wat resulteert in een DoS-toestand”, zei Cisco in een verklaring.
“Cisco heeft geen software-updates uitgebracht die dit beveiligingslek verhelpen. Er zijn geen tijdelijke oplossingen om dit beveiligingslek te verhelpen.”
Het beveiligingslek treft alleen de routers uit de RV-serie als ze UPnP hebben geconfigureerd, maar de UPnP-service is standaard ingeschakeld op LAN-interfaces en standaard uitgeschakeld op WAN-interfaces.
Het bedrijf legde dat uit om erachter te komen of de UPnP-functie is ingeschakeld op de LAN-interface van een apparaat, moeten gebruikers de webgebaseerde beheerinterface openen en naar Basisinstellingen > UPnP. Als het selectievakje Uitschakelen niet is aangevinkt, is UPnP ingeschakeld op het apparaat.
Cisco zei dat hoewel het uitschakelen van de getroffen functie in sommige testomgevingen succesvol is gebleken, klanten “de toepasbaarheid en effectiviteit in hun eigen omgeving en onder hun eigen gebruiksomstandigheden moeten bepalen.”
Ze waarschuwden ook dat elke tijdelijke oplossing of beperking de werking of prestaties van hun netwerk zou kunnen schaden. Cisco drong er bij klanten op aan te migreren naar de Cisco Small Business RV132W-, RV160- of RV160W-routers.
De kwetsbaarheid en de melding van Cisco veroorzaakten een kleine opschudding onder IT-leiders, van wie sommigen zeiden dat het exploiteren ervan vereist dat de dreigingsactor toegang heeft tot een intern netwerk, dat gemakkelijk kan worden verkregen via een phishing-e-mail of andere methoden.
Jake Williams, CTO bij BreachQuest, voegde toe dat een dreigingsactor, eenmaal binnen, deze kwetsbaarheid zou kunnen gebruiken om gemakkelijk de controle over het apparaat te krijgen met behulp van een exploit.
“De kwetsbare apparaten worden op grote schaal ingezet in kleinere zakelijke omgevingen. Sommige grotere organisaties gebruiken de apparaten ook voor externe kantoren. De kwetsbaarheid zit in uPnP, dat bedoeld is om dynamische herconfiguratie van firewalls mogelijk te maken voor externe services die inkomend verkeer van internet moeten doorgeven ', vertelde Williams aan ZDNet.
“Hoewel uPnP een uiterst nuttige functie is voor thuisgebruikers, hoort het niet thuis in zakelijke omgevingen. Cisco laat de uPnP-functie waarschijnlijk ingeschakeld op zijn productlijn voor kleine bedrijven, omdat die omgevingen minder snel toegewijd ondersteunend personeel hebben dat een firewall opnieuw kan configureren als nodig voor een product Personeel in deze omgevingen heeft alles nodig om 'gewoon te werken'. Op het gebied van beveiliging moeten we niet vergeten dat elke functie ook een extra aanvalsoppervlak is dat wacht om te worden uitgebuit.”
Williams voegde toe dat zelfs zonder de kwetsbaarheid, als uPnP is ingeschakeld, bedreigingsactoren in de omgeving het kunnen gebruiken om poorten op de firewall te openen, waardoor gevaarlijk internetverkeer mogelijk is.
“Omdat de kwetsbare apparaten bijna uitsluitend worden gebruikt in kleine bedrijfsomgevingen, met weinig toegewijde technische ondersteuningsmedewerkers, worden ze bijna nooit bijgewerkt”, merkte hij op.
Yaniv Bar-Dayan, CEO van Vulcan Cyber, zei dat UPnP een veel verguisde service is die wordt gebruikt in de meeste apparaten met internetverbinding, en schat dat meer dan 75% van de routers UPnP heeft ingeschakeld.
Terwijl Cisco's Product Security Incident Response Team zei dat het zich tot nu toe niet bewust was van enig kwaadaardig gebruik van dit beveiligingslek, zei Bar-Dayan dat UPnP door hackers is gebruikt om controle te krijgen over alles, van IP-camera's tot bedrijfsnetwerken infrastructuur.
Andere experts, zoals Zach Varnell, senior applicatiebeveiligingsadviseur van nVisium, voegden eraan toe dat het heel gewoon is dat de apparaten zelden of nooit updates ontvangen.
“Gebruikers hebben de neiging om goed genoeg met rust te laten en een apparaat dat goed heeft gewerkt niet aan te raken — ook niet wanneer het belangrijke updates nodig heeft. Vaak profiteren gebruikers ook van plug-and-play-functionaliteit, dus ze doen heel weinig of geen configuratiewijzigingen, waardoor het apparaat in de standaardstatus blijft en uiteindelijk kwetsbaar is”, zei Varnell.
Dirk Schrader, Global Vice President of Security Research van New Net Technologies, voegde toe dat hoewel UPnP een van de minst bekende hulpprogramma's is voor de gemiddelde consument, het breed wordt gebruikt in SOHO-netwerkapparatuur zoals DSL- of kabelrouters, WLAN-apparaten, zelfs in printers.
“UPnP is aanwezig in bijna alle apparaten voor thuisnetwerken en wordt door apparaten gebruikt om andere netwerkapparaten te vinden. Het is al eerder het doelwit geweest en een van de grote botnets, Mirai, leunde zwaar op UPnP. Gezien het feit dat de genoemde Cisco-apparaten in het SOHO- en SMB-segment, zijn de eigenaren hoogstwaarschijnlijk niet op de hoogte van UPnP en wat het doet,” zei Schrader.
“Dat en het feit dat er nog geen tijdelijke oplossing of patch beschikbaar is, is een behoorlijk gevaarlijke combinatie, aangezien de installed base zeker niet klein is. Er kan hoop worden gevestigd op het feit dat de – standaard – UPnP niet is ingeschakeld op de WAN-interfaces van het getroffen Cisco-apparaat, alleen aan de LAN-zijde. Aangezien consumenten dat waarschijnlijk niet zullen veranderen, hebben aanvallers, om misbruik te kunnen maken van dit beveiligingslek, een andere, reeds gevestigde voetafdruk binnen het LAN nodig. Maar aanvallers zullen het beveiligingslek controleren en zien wat kun je er nog meer mee doen.”
Beveiliging
Kaseya ransomware-aanval: wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Hardware Netwerken Tech Industrie Internet of Things CXO Cloud 