#cisco
#CVE-2024-20356: #Jailbreaking a #Cisco appliance to run #DOOM
In this adventure, the Cisco #C195 device family was jailbroken in order to run unintended code. This includes the discovery of a vulnerability in the #CIMC body management controller which affects a range of different devices, whereby an authenticated high privilege user can obtain underlying root access to the server’s #BMC (CVE-2024-20356) which in itself has high-level access to various other components in the system. The end goal was to run DOOM – if a smart fridge can do it, why not Cisco?
source: https://labs.nettitude.com/blog/cve-2024-20356-jailbreaking-a-cisco-appliance-to-run-doom/
#software #security #bug #network #game #news #vulnerability #exploit #hack #hacker
[l] Ich hab ja schon länger keinen Bock mehr, jeden dampfenden Ransomware-Scheißhaufen zu kommentieren, aber ab und zu muss ich. Denn wenn ich es nicht tue, fragt die Presse irgendwelche "Experten" und die sagen dann Dinge wie:
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.
"Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen.Punkt 1: Das war ein 0day! Da konnte man nichts machen!Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und papierraschel Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Falls also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik.
[l] Benutzt hier jemand Fortinet-Produkte? Die wollen endlich auch mal ernst genommen werden, wollen in der Großen Liga mitspielen!
Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen.
Wie, gar keine Backdoors mit hartkodierten Credentials? So wird das nicht mit der Cisco-Konkurrenz.
[l] Gruselpaper zu einem Angriff auf SSH-Server. Der Hintergrund ist ein Angriff, der schon länger für aktive Fault-Angriffe verwendet wird. Das sind Angriffe, bei denen man physischen Zugriff auf die Hardware hat und z.B. bei einer Smartcard die Stromversorgung gezielt stören kann, damit ein bestimmter Teil der Berechnung fehlerhaft wird.
RSA digital signatures can reveal a signer’s secret key if a computational or hardware fault occurs during signing with an unprotected implementation using the Chinese Remainder Theorem and a deterministic padding scheme like PKCS#1 v1.5.
Der Angriff ist mächtig genug, dass ein einziger beobachteter Fehler reicht.
Dann fiel jemandem auf, dass es solche Fehler auch "natürlich" vorkommen, weil Hardware kaputt geht oder vielleicht ist es zu heiß an dem Tag oder irgendein Softwarebug triggert das. Tja und in diesem Paper haben sie mal passiv Verkehr mitgeschnitten und nach solchen Fehlern gesucht, und ... das hat geklappt.
Nun macht SSH aber nicht rohes RSA sondern hat einen Diffie-Hellman-Schritt darüber, und man nahm an, dass es deshalb gegen diesen Angriff immun ist. Ist es aber nicht, sagt dieses Paper jetzt.
In this paper, we show that passive RSA key recovery from a single PKCS#1 v1.5-padded faulty signature is possible in the SSH and IPsec protocols using a lattice attack described by Coron et al. [16 ]. In this context, a passive adversary can quietly monitor legitimate connections without risking detection until they observe a faulty signature that exposes the private key. The attacker can then actively and undetectably impersonate the compromised host to intercept sensitive data.
Das ist eines dieser Papers aus der Kategorie "vielleicht doch lieber Rosenzüchter werden?"
Der Angriff betrifft SSH und IKE (Schlüsselaustausch für IPsec). Sie haben dann geguckt, was für Geräte betroffen waren, und das waren ein paar alte Cisco und Zyxel Appliances, und dann noch Geräte von Hillstone Networks und Mocana (beides nie gehört), die sie nicht kontaktieren konnten. Cisco und Zyxel meinten, das betrifft nur Versionen, die seit Jahren out of service sind. Immerhin.
Die Prävalenz dieser Fehlerart ist aber bestürzend groß finde ich:
Our combined dataset of around 5.2 billion SSH records contained more than 590,000 invalid RSA signatures. We used our lattice attack to find that more than 4,900 revealed the factorization of the corresponding RSA public key, giving us the private keys to 189 unique RSA public keys.
[l] Gerade macht ein Angriff auf Safari die Runde. Ich hab das nur überflogen, aber für mich liest sich das jetzt nicht sonderlich spektakulär. Sie haben gezeigt, dass der Angriff, den wir jetzt seit Jahren diskutieren, auch gegen Safari auf Apple Silicon funktioniert.
Meine Überraschung hält sich in Grenzen.
Ich fasse mal die wesentlichen Punkte zusammen:
we can defeat Apple’s low-resolution timer, compressed
35-bit addressing, and value poisoning countermeasures, allowing
us to read any 64-bit address within the address space of Safari’s
rendering process
Apple hat, wie vor ihnen Microsoft und andere, auf irgendwelche mehr oder weniger nutzlosen Mitigations gesetzt, ohne ihre tatsächlichen Probleme zu lösen. Seit Jahren meine Rede, dass das nicht gut ist.
Combining this with a new technique for con-
solidating websites from different domains into the same renderer
process
Das erzähle ich in meinen Vorträgen seit Jahren, dass man einen Prozess pro Request braucht, damit die sich nicht gegenseitig die Daten extrahieren können.
Finally, we note that Safari
/ WebKit is the only browser engine permitted on iOS devices re-
gardless of web browser app.
Dass DAS eine bekloppte Idee ist, war schon klar, bevor Apple es angekündigt hat. Apple-Kunden war das immer egal, ob Apple Dinge tut, die zu ihren Ungunsten sind. You are holding it wrong.
Was an dem Angriff jetzt besonders ist, ist dass das halt mal jemand alles gemacht hat. Dass das prinzipiell geht, und dass Apple nichts tun wird, bis jemand die Arbeit investiert, um das zu zeigen, war auch offensichtlich.
Was ich an der Sache am gruseligsten finde:
This research was supported by the Air Force Office of Scientific Research (AFOSR) under award number FA9550-20-1-0425; an ARC Discovery Project number DP210102670; the Defense Advanced Research Projects Agency (DARPA) under contract HR00112390029 and W912CG-23-C-0022; the Deutsche Forschungsgemeinschaft (DFG, German Research Foundation) under Germany's Excellence Strategy - EXC 2092 CASA - 390781972; the National Science Foundation under grant CNS-1954712; and gifts by Cisco and Qualcomm.
Wer fehlt auf der Liste? Richtig! Apple!
Apple-User lügen sich immer selbst einen in die Tasche, dass Apple schon irgendwie der einzige Tech-Konzern ist, der edel und rein ist und für seine Kunden nur das Beste will.
Kurz: Aus meiner Sicht ist das die Aufregung gerade nicht wert. Ist alles genau so, wie es schon lange klar war. Apple verkauft Mist und weiß es, sitzt auf unfassbaren Bargeldbergen und weiß nicht wohin damit, aber überlässt die Finanzierung derartiger Forschung dem Steuerzahler, Konkurrenten und dem Militär. Ja geil. Da willste doch deine Geräte kaufen!!
[l] Die Atlassian-Lücke die Tage war ja echt episch. Weiß nicht, ob ihr euch die Details angeschaut habt, aber das war im Wesentlichen ein Webrequest "Oi Digga gib mir mal nen Admin-Account". Auch die Details waren großartig. Man setzt da einen Header
X-Atlassian-Token: no-check
Besser noch: Das ist nicht etwa eine Hintertür sondern ein dokumentiertes Feature. Kannste dir gar nicht ausdenken.
Das hat nicht nur mich beeindruckt. Auch Cisco sah das und dachte ich: Hold my beer! Gammelige Web-Interfaces haben wir auch!
Ja gut. Streng genommen wird die CVSS-10-Lücke bei Cisco schon seit Wochen aktiv ausgenutzt. Aber das kennen Cisco-Kunden ja schon. All your base are belong to us.
The new CVE-2023-20198 vulnerability received the highest Common Vulnerability Scoring System (CVSS) score (10/critical). Successful exploitation would grant an attacker full administrator privileges, allowing them to effectively take full control of the affected router and allowing possible subsequent unauthorized activity.
Erfahrene Cisco-Admins haben das Web-UI eh gesperrt, mindestens in Richtung Internet. Aber eigentlich muss man sich ja schon die Frage stellen: Warum eigentlich? Wenn das so schlecht ist, dass es alle sperren müssen, wieso existiert das dann überhaupt?
Hier ist das Advisory. Money Quote:
Workarounds: No workarounds available
[l] Cisco hat kürzlich Splunk gekauft, für 28 Milliarden Dollar.Ein Kumpel meinte dazu so: Vermutlich war ihre Lizenz abgelaufen und das war billiger so.schenkelklopfUpdate: Oh hahaha, da gibt es sogar ein schönes Mem-Bild zu :-)
[l] Aus der beliebten Kategorie "you hat ONE job", heute:
Mastodon-Instanzen durch bösen Toot rootbar.Ciscos verschlüsseltes VPN kann man von außen entschlüsseln. Besonders schön: Die Funktion heißt "CloudSec". Oder, wie Cisco es ausdrückt:
Using Multi-Site Secure VXLAN EVPN with CloudSec provides state-of-the art Data Center Interconnect with Confidentiality, Integrity, and Availability.
WHOA DUDE! Nicht nur VPN! EVPN!!
Und nicht nur EVPN! VXLAN EVPN!!
Warte! Nicht nur VXLAN EVPN! Secure VXLAN EVPN!!!
Scheiße, Bernd, heißt das, dass es auch Insecure VXLAN EVPN gibt? Wie sich rausstellt: ja. Ist sogar Standard :-)
Update: Hat sogar noch ein bisschen mehr Availability als geplant!
"Nuke the entire site from orbit - it's the only way to be sure"
"Der Rückzug vom russischen Markt bedeutete für viele westliche Unternehmen, dass sie im vergangenen Jahr einfach die Geschäfte einstellten. Beim Netzwerkausrüster Cisco war dieser Prozess wesentlich handfester - und dauerte daher auch länger an." [..]
"Der US-Konzern hat seinen Ausstieg aus dem russischen Markt im Januar damit abgeschlossen, dass die verbliebenen Mitarbeiter die übrigen Lagerbestände physisch vernichteten. Dabei handelte es sich im Wesentlichen um Ersatzteile für die Netzwerk-Systeme des Herstellers im Wert von über 23 Millionen Dollar." [..]
"Am Ende waren noch fünf Mitarbeiter angestellt, die eben unter anderem die Aufgabe hatten, dass keine Hightech-Produkte, die noch im Lager vorgehalten wurden, mehr funktionsfähig übrigblieben, wenn man die Schlüssel abgibt.
Darüber hinaus meldete man in den Bilanzen der Gesellschaft die Vernichtung des gesamten Anlagevermögens. Dabei handelt es sich schlicht um die Ausstattung, mit der die Angestellten ihre Arbeit verrichten konnten. Das reichte von Büro-Ausstattung, Möbeln und Vorführgeräten bis hin zu Dienstwagen. Somit konnte die Auflösung nun offiziell abgeschlossen werden."
[l] Manche Meldungen sind so bescheuert, dass ich sie erst gar nicht wirklich zur Kenntnis nehme. Seit ein paar Tagen kommen hier Meldungen rein, dass man bei Adobe jetzt Farben lizenzieren muss, sonst ist alles schwarz.
Ja gut, Adobe ist ja das Cisco bei den Kreativ-Tools, insofern berichte ich nur sehr zurückhaltend über die. Seit die von Kaufen auf Abo umgestellt haben, und ihre Kunden dageblieben sind, habe ich da kein Mitleid mit irgendwem mehr.
Und Farben? Nunja. Ich erinnere mich da an die Telekom-Nummer, als die die Farba Magenta als ihr Eigentum betrachtet haben.
Aber stellt sich raus: Doch, ist wirklich was dran. Ist keine Satire. Cory Doctorow hat die Details. Wenn ihr nur mal den Screenshot sehen wollt: Hier ist ein Tweet damit.Es geht um Pantone. Geht mal zu deren Webseite und guckt, ob eure Fantasie reicht, euch etwas Bekloppteres auszudenken als diese Firma.Dabei ist das ganz einfach, sich etwas noch Bekloppteres auszudenken! Ein Rechtssystem, in dem jemand mit dem Benennen von Farben Lizenzgebühren einfordern kann! Genau das haben die getan, und Adobe hat offenbar jahrelang gezahlt. Aber offenbar nicht genug, oder vielleicht wurde Pantone noch gieriger, weil sie ja das Gehalt für ihre Trendexpertin reinkriegen müssen, jedenfalls schmeißt Adobe jetzt Pantone-Farben raus. Wer die haben will, und das sind einmal die meisten professionellen Kunden, der muss sie extra lizenzieren. Wie? Nein, natürlich keine Einmalzahlung. 21 Dollar pro Monat! Für ... immer.
Ja, äh, benutze ich halt die alte Version weiter. Nee, geht nicht, denn das ist jetzt alles Cloud-Software. Das hast du nicht unter Kontrolle, welche Änderungen Adobe an der vornimmt.
Doctorow vergleicht die Situation mit Apple in China. Dass China alle Apple-User mit einem Befehl an Apple in ihr Überwachungsnetz zwängen konnte, lag nicht an China sondern an Apple. Es ist nicht China, was verhindert, dass Leute einfach eine andere VPN-App sideloaden. Es ist Apple.
Und genau so ist das hier, argumentiert Doctorow. Wenn Adobe nicht auf SaaS umgestellt hätte, dann hätte Pantone hier keinen Hebel gehabt. Money Quote:
Pantone started out as a tech company: a way to reliably specify ink mixes in different prepress houses and print shops. Today, it's an "IP" company, where "IP" means "any law or policy that allows me to control the conduct of my customers, critics or competitors."
https://locusmag.com/2020/09/cory-doctorow-ip/
That's likewise true of Adobe. The move to SaaS is best understood as a means to exert control over Adobe's customers and competitors. Combined with anti-competitive killer acquisitions that gobble up any rival that manages to escape this control, and you have a hostage situation that other IP companies like Pantone can exploit.
Hostage situation ist eine schöne Zusammenfassung der Situation, wenn ihr mich fragt.
[l] Old and busted: Produkt scheiße, aber wenigstens der Updater läuft.
New hotness: Nicht mal den Updateprozess kriegt Cisco hin.
Cisco und Exchange ergänzen sich echt prima. Am besten noch eine Lage Citrix drüber. Dann hat man den perfekten ... Industriestandard in Sachen kritischer IT-Infrastruktur.
Um nicht zu sagen überkritischer IT-Infrastruktur. Stehste? Stehste?
Cisco has been hacked by a ransomware gang
U.S. networking giant Cisco Systems has been hacked, the company confirmed on Wednesday, after Yanluowang ransomware operators claimed the attack on their leak site. #Yanluowang #ransomware is claiming to have breached #Cisco ! Without any further information, the group released a list of 8110 lines,showing folder names and possibly exfiltrated files.The word #Cisco only appears 94 times. More information in the screenshots below: pic.twitter.com/2c5shCSbF9 — Gitworm (@Gi7w0rm) August 10, 2022 But according to Cisco’s Talos … More →
The post Cisco has been hacked by a ransomware gang appeared first on Help Net Security.
posted by pod_feeder
WikiDevi is a user-editable database for computer hardware based
https://wikidevi.wi-cat.ru/Main_Page
#2Wire #3Com #ALFA #Network #AMIT #ARGtek #ASUS #AVM #AboCom #Accton #Actiontec #Aerohive #AirVast Allnet #Networks #Ambit #Microsystems #Amigo #Amped #Wireless #Apple #Arcadyan #Arris #Aruba #Atheros #Aztech #AzureWave #B-LINK #Belkin #Billion #Brand #BroMax #Broadcom #Buffalo #CC&C #CNet #COMFAST #Cameo #CastleNet #Cisco #D-Link #Dell #DrayTek #Dynex #E-TOP #EDUP #Edimax #EnGenius Gemtek Gigabyte GlobalScale Global Sun #Linksys #MikroTik #Netgear #Netis Philips Planex Premiertek Proware Proxim #Qualcomm #Atheros #Ralink #Realtek #TP-LINK #TRENDnet #Ubiquiti #Xiaomi
[l] Zu lange hat F5 im Schatten von Cisco dahinvegetiert!
Aber im Markt wurde es irgendwie nie angenommen. Kein Wunder. So ganz ohne "vergessene" hartkodierte Admin-Accounts und andere Backdoors sind die F5-Produkte einfach nicht Enterprise-fähig.
Aber keine Sorge, F5 denkt mit und baut dann halt auch hartkodierte Admin-Accounts ohne Passwort ein. Man macht einfach einen Post-Request auf bash mit der Kommandozeile als Json, basic authentication, username "admin", passwort leer.
Mal gucken, ob sie wirklich Cisco-Level Enterprise-fähig sind und die Sicherheitspatches ebenfalls nur gegen bezahlten Supportvertrag verbreiten. Sie dürfen natürlich keine Erklärungsversuche bringen jetzt. Das wäre unprofessionell.
Wer kauft eigentlich von solchen Firmen? Kann mir das mal jemand erklären? Warum?!
