Cisco-patch voor zerodays, maar nog niet voor alle getroffen systemen

De lopende hackaanvallen op netwerkapparatuur van het grote Cisco worden uitgevoerd via niet één maar twee zerodays. Daarbij zijn vele tienduizenden systemen gecompromitteerd. Het Nederlandse securitycollectief DIVD had vorige week 46.000 gehackte Cisco-systemen gedetecteerd. Securitybedrijf Fox-IT spreekt nu van bijna 38.000 stuks, nadat het heeft ontdekt dat de aanvallers hun stiekem geïnstalleerde implant proberen te verbergen voor detectie.

Niet allemaal, niet gelijk

Hardwareleverancier Cisco heeft afgelopen weekend bekendgemaakt dat het bij onderzoek naar deze hacks en de zeroday-ingang een tweede zeroday heeft ontdekt. De inschatting was toen dat er zondag fixes zouden uitkomen.

Maandagochtend vermeldde de security-advisory van Cisco daar echter nog niets over. Inmiddels is dat informatiebulletin wel aangepast. Informatie over de securityfix valt nu te vinden in het nieuwe segment 'Fixed Software' in die advisory.

De beschikbaarheid van die patches is echter nog niet compleet. Alleen netwerkapparaten met de meest recente versie 17.9 van Cisco's besturingssysteem IOS XE hebben nu een patch gekregen. Voorgaande versies (17.6, 17.3 en 16.12) wachten nog op release van de securityfix. De datum daarvoor is momenteel nog 'in planning', zo valt te lezen op een aparte pagina over de beschikbaarheid van de softwarefix.

En sommige niet

Verder is de uitrol van die eerste patch (versie 17.9.4a) gefaseerd uitgevoerd. Sommige categorieën Cisco-hardware hebben de fix op zondag (22 oktober) gekregen, maar andere maandag (23 oktober) en dinsdag (24 oktober). Bij een enkel hardwaremodel staat 'niet beschikbaar' (N/A) voor de 17.9.4a-update. Hetzelfde geldt voor de nog komende fix voor IOS XE-versie 16.12: niet alle Cisco-apparaten met dat oudere besturingssysteem krijgen de geplande 16.12.10-update.