Witold Kepinski - 27 september 2023

Chinese hackers kunnen Cisco routers achterdeurtjes gebruiken

Op 27 september 2023 hebben de Amerikaanse National Security Agency (NSA), het Amerikaanse Federal Bureau of Investigation (FBI), de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), de Japan National Police Agency (NPA) en het Japan National Center van Incident Readiness and Strategy for Cybersecurity (NISC) een gezamenlijk cybersecurityadvies (CSA) uitgebracht waarin de activiteiten van de cyberactoren (uit China) bekend als BlackTech worden beschreven.

Chinese hackers kunnen Cisco routers achterdeurtjes gebruiken image

Volgens het advies kunnen spionnen van de Chinese overheid zich in Cisco-routers verstoppen en die toegang gebruiken om intellectueel eigendom en andere gevoelige gegevens te stelen.

Cisco heeft het rapport beoordeeld. Cisco wil graag de volgende belangrijke feiten onder de aandacht brengen:

  • De meest voorkomende initiële toegangsvector bij deze aanvallen betreft gestolen of zwakke beheerdersreferenties. Zoals uiteengezet in het rapport zijn voor bepaalde configuratiewijzigingen, zoals het uitschakelen van logboekregistratie en het downloaden van firmware, beheerdersreferenties vereist.
  • Er zijn geen aanwijzingen dat er misbruik is gemaakt van kwetsbaarheden in Cisco. Aanvallers gebruikten gecompromitteerde inloggegevens om configuratie- en softwarewijzigingen op beheerdersniveau uit te voeren.
  • Moderne Cisco-apparaten beschikken over veilige opstartmogelijkheden, waardoor het laden en uitvoeren van gewijzigde software-images niet mogelijk is. Zie het Cisco Trustworthy Technologies-gegevensblad voor meer informatie over veilig opstarten .
  • De gestolen code-signing-certificaten die in het rapport worden genoemd, zijn niet van Cisco. Cisco heeft geen weet van code-signing-certificaten die worden gestolen om een ​​aanval uit te voeren op Cisco-infrastructuurapparaten.

Deze kernpunten komen overeen met het consistente standpunt en de boodschap van Cisco die klanten adviseert de best practices te volgen, zoals beschreven in de Cisco-blogpost: Aanvallers blijven zich richten op oudere apparaten .

Moderne netwerkinfrastructuurapparaten bevatten nu talloze beveiligingsfuncties en mogelijkheden die de bovengenoemde aanvallen tegengaan. De Cisco Secure Development Lifecycle (SDL) past toonaangevende praktijken en technologie toe om betrouwbare oplossingen te bouwen met minder in de praktijk ontdekte productbeveiligingsincidenten. Als onderdeel van ons voortdurende streven naar netwerkbetrouwbaarheid heeft Cisco onlangs een initiatief gelanceerd dat gericht is op netwerkveerkracht. Zie de Cisco Network Resilience- portal voor meer informatie over deze inspanning .

Dit advies is beschikbaar via de volgende link:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csa-cyber-report-sept-2023

Voor een beschrijving van dit rapport, zie People's Republic of China-Linked Cyber ​​Actors Hide in Router Firmware

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW