Volgens beveiligingsbedrijf AirMagnet is de manier waarop nieuwe Cisco access points (AP’s) aan een netwerk worden toegevoegd het grote probleem. Het bedrijf ontdekte onlangs de kwetsbaarheid en is van plan volgende week meer technische details prijs te geven.

AP’s die reeds in een netwerk zijn opgenomen verzenden informatie over de dichtstbijzijnde netwerkcontroller waarmee ze communiceren. Als een systeembeheerder een nieuwe AP van Cisco ophangt, luistert deze naar bestaande AP’s om te weten met welke netwerkcontroller hij moet verbinden.

Onversleutelde data

De kwetsbaarheid zit hem in de informatie die bestaande AP’s onbeveiligd (zonder encryptie) doorsturen, zoals het MAC en IP-adres van de controller. Deze informatie opsporen (sniffen) is relatief simpel en kan met gratis tools zoals NetStumbler gedaan worden, zo waarschuwt Wade Williamson van AirMagnet.

Met de informatie die een hacker van het toegangspunt heeft verkregen, kan hij een DDoS op de netwerkcontroller loslaten die (een gedeelte van) het netwerk kan platleggen. Waarschijnlijker is nog dat een hacker een ‘skyjack’ uitvoert. In dit scenario voegt de indringer zelf een access point toe, waardoor het bedrijfsnetwerk niet langer met de juiste netwerkcontroller communiceert.

Ook zonder tussenkomst van hackers kan het fout gaan, waarschuwt AirMagnet. Een Cisco AP kan ook broadcasts opvangen van een legitiem netwerk in de buurt en per ongeluk daarmee verbinden, weet Williamson. Het bedrijf kwam achter het lek na klachten over herhaalde waarschuwingen van het netwerk over ontversleuteld broadcast-verkeer. Het netwerk was ingesteld om alle informatie versleuteld te versturen.

De kwetsbaarheid die AirMagnet heeft kunnen aantonen is gelieerd aan alle ‘eenvoudige’ AP’s van Cisco die samenwerken met een netwerkcontroller. Dat zijn volgens het beveiligingsbedrijf het merendeel van de access points die Cisco van de band heeft laten rollen nadat het in 2005 Airespace overnam.

Cisco neemt de bevindingen van AirMagnet intussen ‘zeer serieus’. Momenteel onderzoekt het bedrijf uit wat er precis aan de hand is, zo liet een woordvoerder weten. Volgens een verklaring van het bedrijf komt men pas met een officiële reactie zodra duidelijk is wat het exacte probleem is. AirMagnet verwacht dat Cisco een manier verzint waarmee broadcast-verkeer dan wel uitgeschakeld, dan wel verborgen kan worden.

Hacker moet in de buurt zijn

Toch hoeven systeembeheerders niet direct ongerust te worden. Misbruik maken van de kwetsbaarheid is namelijk niet zo eenvoudig als het op het eerste gezicht lijkt. Een hacker zal namelijk in de nabijheid van het bedrijfsnetwerk moeten komen om de signalen van de AP’s op te vangen wanneer een nieuw access point in het netwerk gehangen wordt.

Ook kunnen bedrijven het ‘skyjacken’ tegengaan door de wireless provisioning uit te schakelen, waardoor een AP automatisch met een nabijgelegen controller verbindt. Het blijft wel opletten geblazen, want hangt een AP eenmaal in het netwerk dan zal deze altijd kleine stukjes onversleutelde informatie lekken.

Bron: Techworld