Cisco-apparatuur onveilig door Sophos-fout

Kwetsbaarheden in de securitysoftware van Sophos raken ook Cisco-beveiligingsapparatuur, die hierdoor op afstand is te kapen. Cisco heeft nog geen patch en raadt een overstap aan.


Bepaalde modellen van de Ironport security-appliances van Cisco zijn voorzien van Sophos Anti-Virus. Die securitysoftware blijkt grote beveiligingsgaten te bevatten, die kwaadwillenden op afstand kunnen misbruiken. Dit is ontdekt door security-expert Tavis Ormandy, die Sophos heeft ingelicht alvorens de kwetsbaarheden te openbaren. Door die gaten, inmiddels deels gedicht, zijn echter niet alleen Windows-pc's en -servers over te nemen.

Beveiliging kapen

Ook de ESA- (e-mail security appliance) en WSA-modellen (web security appliance) van Cisco's Ironport blijken kwetsbaar. Via de Sophos-software kan een aanvaller op afstand en zonder authenticatie de controle over het Cisco-beveiligingssysteem overnemen. De hardwarefabrikant waarschuwt voor dit gevaar in een eigen security advisory.

Langs deze weg zijn op de appliances hogere privileges te verkrijgen, maar ook zijn die taakgerichte systemen geheel uit te schakelen. Laatstgenoemde komt dan neer op een DoS-aanval (denial of service) voor de appliance die een eigen netwerk juist moet beschermen tegen aanvallen en online-risico's. De impact van Sophos' security-falen raakt dus niet alleen de klanten van die leverancier zelf.

Nog geen updates

Cisco meldt dat het updates van Sophos voor deze kwetsbaarheden na het uitkomen daarvan eerst nog zelf moet doornemen en goedkeuren voor zijn Ironport-platform. Als dat eenmaal is gebeurd, kan de netwerkleverancier deze automatisch doorgeven voor die appliances.

Het security-bulletin van Cisco is gisteren bijgewerkt met de aankondiging dat de eerste fixes eind deze week uitkomen. Vanaf donderdag krijgen klanten die updates aangeboden. Sophos zelf heeft al diverse fixes uitgebracht voor zijn Windows- en Mac-software. Cisco heeft tot op heden nog geen directe update voor zijn Sophos-gebruikende beveiligingshardware. Een maatregel om de gaten af te dekken, is er ook niet.

Fix: gebruik concurrent

Als tussenoplossing geeft Cisco zijn klanten het advies over te stappen wat de antivirus-engine betreft. "Om [de impact - red. van] deze kwestie te beperken, kunnen klanten de Cisco Ironport-appliances configureren om een alternatief antivirusprogramma te gebruiken. Cisco biedt 30-dagen proeflicenties voor McAfee Anti-Virus via Ironport Technical Support als een tussentijdse workaround."

Klanten moeten zelf contact opnemen met die supportdienst. Vervolgens kunnen zij de evaluatieperiode van 30 dagen voor de McAfee-securitysoftware activeren via de web-gui van de appliance, of door het antivirusconfig-commando uit te voeren op dat apparaat.

Vanaf eind november

De nu aangekondigde komst van Cisco-updates enerzijds en het al beschikbaar zijn van diverse Sophos-updates betekent nog niet dat alle ontdekte kwetsbaarheden zijn aangepakt. Security-expert Tavis Ormandy heeft meerdere gaten gevonden in Sophos' programmatuur. Enkele daarvan staan nog open, maar het is niet publiekelijk bekend welke dit zijn.

De beveiligingsexpert heeft namelijk na zijn eerste inlichtingsronde Sophos aanvullende voorbeelden van malafide bestanden gegeven die de securitysoftware laten crashen. Het bedrijf noemt dit kort onderaan de blogpost over de gaten. Dat crashen maakt mogelijk weer andere exploits mogelijk. Deze bestanden worden nog onderzocht door Sophos-experts, stelt de firma. Het aanbieden van fixes hiervoor staat gepland om vanaf 28 november te beginnen.

Wachten op eerste kwartaal

Ook daarmee zijn de gaten nog niet allemaal gedicht. Naast de aankomende rond van eind deze maand staat er nog een update gepland, voor in het eerste kwartaal van komend jaar. Het wachten op die fix is omdat dat "specifieke geval gerelateerd is aan een architecturele verandering", antwoordt forumgebruiker Sean van Sophos op een reactie onder de blogpost van het bedrijf over de affaire. Die kwestie was niet kritiek genoeg om voorrang te geven boven andere belangrijke fixes, wat ontdekker Ormandy ook vond, aldus Sean.

Sophos en Cisco staan al sinds 15 oktober met elkaar in contact over de ontdekte kwetsbaarheden, meldt Sophos aan de News Service van Webwereld-uitgever IDG. Op 23 oktober heeft de securityfirma een bijgewerkte antivirus-engine aangeleverd aan Cisco waarmee het merendeel van de gaten is opgelost. Een tweede engine-update, die afgelopen week is aangeleverd, patched alle kwetsbaarheden die zijn geīdentificeerd door Tavis Ormandy, vertelt Sophos-onderzoeker Graham Clueley.