Kwetsbaarheid in Cisco devices actief uitgebuit

Bij systemen die gebruik maken van SNMPv1 of SNMPv2, die direct met internet verbonden zijn en waarvan de standaard community strings niet zijn aangepast, is de kans zeer groot dat ze succesvol worden aangevallen waarna aanvallers de volledige controle over het systeem kunnen overnemen. Deze systemen moeten direct worden gepacht.

Systemen die gebruik maken van SNMPv3, waarvan de community strings zijn aangepast of die niet direct met internet zijn verbonden, lopen iets minder risico, maar zouden ook zo snel mogelijk moeten worden gepatcht.

Meer dan 2 miljoen Cisco-apparaten zijn mogelijk kwetsbaar en blootgesteld aan het internet via SNMP, waarvan een kleine 32 duizend in Nederland.

‍

Cisco heeft software-updates uitgebracht die deze kwetsbaarheid verhelpen. Er zijn geen workarounds beschikbaar. Organisaties wordt geadviseerd om zo snel mogelijk te upgraden naar een gepatchte versie, zoals beschreven in het advies van Cisco.

Daarnaast is het mogelijk om de specifieke Object IDs uit te zetten waar deze kwetsbaarheid betrekking op heeft, maar dit kan ook gevolgen hebben voor SNMP-functionaliteit. Ook dit staat beschreven in het advies van Cisco.

Daarnaast is het aan te raden om:

- over te gaan op het gebruik van SNMPv3, wat in algemene zin veiliger is dan v1 en v2.

- SNMP-toegang te beperken tot vertrouwde netwerken.

- geen standaard community strings te gebruiken als je toch gebruik maakt van SNMPv1 en SNMPv2.

‍

• Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability