Cisco publiceert handleiding voor onderzoek gehackte Cisco-apparatuur

Stay tuned, abonneer!

Cisco heeft vier handleidingen gelanceerd voor incident responders die apparatuur van het bedrijf onderzoeken waarvan ze vermoeden dat deze gehackt is. De vier handleidingen zijn gericht op vier van de grote software-platformen van het bedrijf.

In de handleidingen staan stappenplannen voor hoe forensische informatie uit de gehackte apparaten gehaald kan worden, terwijl de integriteit van de data intact blijft, meldt ZDNet. De vier handleidingen richten zich daarbij op Cisco ASA, Cisco IOS, Cisco IOS XE en Cisco FTD.

ASA is software die op beveiligingsapparaten draait en firewall-, antivirus-, intrusion prevention- en VPN-mogelijkheden combineert. IOS is een eigen besturingssysteem dat op de meeste switches en routers van het bedrijf draait. XE is een Linux-gebaseerd besturingssysteem dat op switches en routers draait. FTD combineert de ASA- en Firepower-technologie van het bedrijf en zit in de firewall-hardware van Cisco.

Het bedrijf heeft voor één grote software-lijn echter geen handleiding gepubliceerd. Dat is IOS XR. Deze software draait op routers voor providers.

Informatie in de handleidingen

De vier handleidingen bevatten ongeveer dezelfde informatie. Dat zijn procedures voor het verzamelen van de platform configuratie-staat en runtime-staat, het onderzoeken van system image hashes op afwijkingen en het verifiëren van de juiste signing karakteristieken van FTD-systeem en running images.

Ook bevatten de vier handleidingen informatie over het verzamelen en verifiëren van het memory text-segment, het genereren en verzamelen van crash-informatie en kernbestanden, en het onderzoeken van de instellingen van ROM monitor-instellingen voor remote system image loading.

De vier handleidingen zijn gepubliceerd op het Tactical Resources-portaal van het bedrijf. Dat portaal bevatte eerder alleen handleidingen voor het controleren van de integriteit van de firmware en het besturingssysteem op diverse apparatuur.

Lek gedicht

Cisco dichtte in augustus nog een lek in zijn IOS- en IOS XE-software. Met een patch moeten zakelijke VPN’s beschermd worden tegen crypto-aanvallen. Die aanvallen bedreigen zakelijke VPN’s en kunnen zich via man-in-the-middle-aanvallen op netwerken richten.