De kwetsbaarheden die een groep hackers genaamd de Shadow Brokers eerder deze week op het internet plaatste, blijken echt te zijn. Cisco en Fortinet, twee van de bedrijven waarvan lekken in hun software werden geplaatst, bevestigen dit. Ze maken beiden firewalls en hebben bevestigd dat de kwetsbaarheden in de documenten van de Shadow Brokers inderdaad in hun producen inderdaad aanwezig zijn. De Shadow Brokers claimen dat de kwetsbaarheden afkomstig zijn van de de NSA en dat zij die organisatie gehackt hebben.
Cisco zegt dat twee kwetsbaarheden gebruikt kunnen worden om hun Adaptive Security Appliance (ASA) software te kunnen doorbreken. Die software wordt gebruikt in Cisco’s firewalls. Gevolg daarvan is dat de aanvaller volledige controle over het systeem kan krijgen. Opvallend is dat de data van de Shadow Brokers uit de periode tussen 2010 en 2013 komt. Dat betekent dat de firewalls van Cisco al jaren kwetsbaar kunnen zijn.
Eén van de twee kwetsbaarheden werd al in 2011 opgelost, vertelt Omar Santor, beveiligingsengineer bij Cisco. De tweede kwetsbaarheid zit echter nog wel in alle ASA-software van Cisco. Hiermee kan een hacker de volledige controle over een firewall krijgen. Maar deze zogeheten exploit is zo complex dat Cisco het niet eerder ontdekt en opgelost had, wat er volgens het bedrijf op wijst dat het ontwikkeld was door een talentvolle hacker. De NSA heeft er voordeel van dat deze exploit onbekend bleef, zodat deze gebruikt kon worden door de inlichtingendienst.
Ook Fortinet zegt dat een aantal producten die voor augustus 2012 een kwetsbaarheid bevatten, waarmee de aanvaller de controle over een firewall zou kunnen krijgen. De meest recente versies zijn volgens het bedrijf niet aangetast. Wel laat Fortinet weten dat het onderzoek naar de code van de Shadow Brokers nog loopt.
NSA-hack
De Shadow Brokers lieten maandag weten dat ze de NSA hadden gehackt. Hierbij gaat het echter wel om een specifieke afdeling van de Amerikaanse organisatie, namelijk de Equation Group. Het feit dat de kwetsbaarheden van Cisco en Fortinet echt blijken te zijn, wijst er op dat de hack inderdaad echt is. Overigens zeggen de Shadow Brokers dat ze ook exploits hebben voor Juniper Networks en TopSec, maar geen van beide bedrijven heeft hier tot nu toe iets over laten weten. Ook de NSA zelf houdt zijn kaken stijf op elkaar.
De Shadow Brokers zeggen bovendien dat ze nog meer kwetsbaarheden hebben en bieden deze aan via een Bitcoin-veiling. Als ze een miljoen Bitcoin binnenkrijgen – ongeveer een half miljard dollar -maken ze meer exploits openbaar. Tot nu toe zijn er echter nog geen interessante biedingen binnengekomen.
Uit welke hoek de hack precies komt, is ook nog onbekend. Een aantal experts en NSA-klokkenluider Edward Snowden zeggen echter dat de Russische inlichtingendienst erachter zit, maar hier is nog geen bewijs voor.
7) Why did they do it? No one knows, but I suspect this is more diplomacy than intelligence, related to the escalation around the DNC hack.
— Edward Snowden (@Snowden) August 16, 2016
9) This leak is likely a warning that someone can prove US responsibility for any attacks that originated from this malware server.
— Edward Snowden (@Snowden) August 16, 2016