Nätverksjättarna täpper till säkerhetshål som ska ha utnyttjats av NSA

I helgen började en anonym hackargrupp, kallad Shadow Brokers, auktionera ut hackarverktyg, stulna från amerikanska underrättelsetjänsten NSA till högstbjudande. Nu bekräftar Cisco och Fortinet att tidigare okända sårbarheter i deras system gjorts offentliga i samband med hacket. Fel som i vissa fall legat oupptäckta i säkerhetsverktygen under flera år. Nu skickar de både företagen ut uppdateringar och uppmanar sina kunder att installera dem omedelbart.

Lagningarna togs fram efter att det stod klart att sårbarheterna utgjorde ett verkligt hot mot vissa av deras produkter, skriver IDG News. I den skaran ingår versioner av Ciscos brandväggar PIX och ASA samt versioner av Fortinets brandvägg Fortigate. Även andra företag kan ha påverkats, som till exempel Watchguard och Topsec. Men de har än så länge inte kommenterat händelsen eller gått ut med några varningar och uppdateringar.

Läs också: Edward Snowden: "Inte första gången NSA blivit hackade"

Hackarna bakom attacken mot NSA la upp ett antal filer på Github som bevis på att de faktiskt hade lagt beslag på den skadliga koden. Filerna är daterade till 2013 och innehåller kod som kan användas för att hacka produkterna. Dock har sårbarheterna inte varit kända sedan tidigare. Spekulationerna kretsar främst kring att det skulle vara Ryssland som ligger bakom attacken mot NSA. Och att det skulle vara någon form av reaktion på anklagelserna om att landet påståtts ha hackat Demokratiska partiet.

Cisco har bedömt hotet som sårbarheterna utgör som mycket allvarligt. Risken är överhängande att kunder som drabbas kan få sina data övervakade av hackare. Felet ligger i internetstandardprotokollet snmp.

”Sårbarheten beror på en överbelastning i minnesbuffern i det påverkade kodområdet. En hackare kan utnyttja sårbarheten genom att skicka särskilt utformade snmp-paket till det drabbade området, skriver tillverkaren på sin blogg.

Än så länge har Cisco inte släppt en uppdatering som åtgärdar just detta fel, men skriver att det finns vägar runt som gör att användaren kan skydda sig. I bloggen listas också de produkter som påverkas, några av dem är:

• Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco ASA 5500-X Series Next-Generation Firewalls
• Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

Ytterligare en sårbarhet läckte ut i samband med hacket, men det är en som Cisco redan känner till, Cisco ASA CLI Remote Code Execution Vulnerability. Den lagades redan 2011 men företaget har ändå valt att uppdatera säkerhetsråden och påminna användarna om att se till att de har senaste versionen av mjukvaran. Detta fel klassas som något mindre allvarligt, men kan ändå göra att nätverket används vid en ddos-attack. I en blogg beskriver de felen och eventuella följder av hacket mot NSA närmare.

Läs också: Liga påstår sig hackat NSA – säljer cybervapen till högstbjudande

Fortinet har också uppdaterat sina säkerhetsråd till användarna kring felet de kallar: Cookie parser buffer overflow. Även här klassas hotet som allvarligt och kan göra att nätverket tas över av hackare. Felet påverkar följande av företagets produkter: 

• FOS 4.3.8, samt tidigare versioner
• FOS 4.2.12, samt tidigare versioner 
• FOS 4.1.10, samt tidigare versioner

”Kunder som kör Fortigates firmware 5.0 och senare, släppta i augusti 2012, påverkas inte. Vi fortsätter att undersöka händelsen och genomför ytterligare granskningar av alla Fortinets produkter. Om ny information kommer fram, som är till nytta för våra kunder, kommer vi dela med oss av den”, skriver företaget i ett mejl till IDG News.