Duizenden Cisco apparaten gehackt: Kritiek beveiligingslek in IOS XE-software

Tienduizenden switches, routers en andere netwerkapparaten van Cisco zijn gehackt door een ernstig beveiligingslek, een zogenaamd ‘zeroday-gat’, in Cisco’s IOS XE-software. Dit werd eerder deze week gemeld door zowel Cisco als het Digital Trust Center. Dit ernstige lek heeft de hoogst mogelijke risicoscore van 10.0 gekregen. Het gat maakt het voor hackers mogelijk om beheerdersrechten te verkrijgen en volledige controle over de getroffen routers en switches te nemen. Er is nog geen oplossing in de vorm van een beveiligingsupdate beschikbaar. Wat houdt dit risico in en wat kan je nu het beste doen?

Wat is het risico van de hack bij Cisco?

Cisco is een bekende wereldwijde leverancier van netwerkapparatuur, waaronder routers en switches. De ontdekte kwetsbaarheid, aangeduid als CVE-2023-20198, is uiterst riskant. Het laat cybercriminelen toe om op afstand een beheerdersaccount te maken met volledige toegangsrechten, ook wel ‘privilege level 15’ genoemd. Dit betekent dat ze de volledige controle over het apparaat kunnen overnemen, waardoor hackers codes kunnen uitvoeren, gevoelige informatie kunnen inzien, of het apparaat kunnen gebruiken om dieper in het netwerk te infiltreren.

Wat is er bekend over het kritieke zeroday-gat?

Volgens rapporten van Cisco en bevestigingen van het DTC, wordt deze kwetsbaarheid actief misbruikt. Hackers hebben al duizenden Cisco-apparaten besmet met een soort verborgen software, een ‘implant’ genoemd. Hiermee kunnen ze op afstand commando’s geven aan het besmette apparaat. Wat vooral zorgwekkend is, is dat deze kwetsbaarheid aanwezig is in de basisinstellingen. Dit betekent dat een enorm aantal apparaten potentieel gevaar loopt als ze niet onmiddellijk worden beveiligd. In Nederland zijn al bijna 800 systemen gevonden met zo’n ‘implant’ (aldus AG Connect), en dit aantal blijft stijgen.

Wat kan ik doen?

Hoewel Cisco nog geen definitieve oplossing heeft geboden, zijn er acties die organisaties nu al kunnen ondernemen om hun systemen te beschermen:

1. Schakel de webbeheerinterface uit op alle apparaten die op IOS-XE draaien, of zorg ervoor dat deze niet toegankelijk zijn via het internet.
2. Controleer de instellingen en het bestandssysteem van je apparaten op aanwijzingen dat ze mogelijk zijn gehackt.
3. Bekijk systeemlogboeken voor ongebruikelijke activiteiten of verdachte dataverkeer.
4. Overweeg om de betrokken apparaten opnieuw op te starten, omdat de kwaadaardige software (mogelijk geïnstalleerd door hackers) niet permanent op het apparaat blijft na een herstart.

Cisco heeft ook een lijst gepubliceerd met ‘indicatoren van compromis’ (IoC’s), die helpen te bepalen of een systeem is gehackt. Deze zijn snel te vinden via Cisco Talos Blog en Cisco Security Advisory.

Daarnaast kunnen organisaties een speciale scanner van VulnCheck gebruiken, die gratis beschikbaar is op GitHub, om te controleren of ze zijn getroffen door deze ernstige aanval.

Het belang van proactieve cybersecurity

Dit incident onderstreept hoe belangrijk het is om cybersecurity actief te benaderen. In een tijdperk waarin cyberaanvallen steeds geavanceerder worden, is het niet genoeg om alleen te reageren op bedreigingen als ze zich voordoen. Organisaties moeten hun netwerkapparatuur voortdurend in de gaten houden, beveiligingsupdates onmiddellijk installeren en regelmatig veiligheidscontroles uitvoeren. Ook is het trainen van personeel in de beste praktijken voor cybersecurity essentieel om menselijke fouten te minimaliseren. De aanval op Cisco-apparaten is een krachtige herinnering dat, in de wereld van cybersecurity, voorkomen altijd beter is dan genezen en dat aanvallen steeds geavanceerder worden.

Onze cybersecurity-oplossingen zijn ontworpen om niet alleen te voldoen aan de huidige normen voor cybersecurity, maar ook om proactief toekomstige uitdagingen te anticiperen.

Wil je proactief aan de slag met de beveiliging van jouw bedrijf? Neem dan contact op met onze cybersecurity-experts.

Beveilig jouw organisatie