Nieuws
image

Cisco verwijdert hardcoded wachtwoord dat aanvaller root-toegang geeft

donderdag 5 oktober 2023, 09:38 door Redactie, 11 reacties

Cisco heeft in een product dat de hulpdiensten in de Verenigde Staten en Canada gebruiken om telefoongesprekken naar het noodnummer 911 te routeren en de locatie van de beller vast te stellen een hardcoded wachtwoord verwijderd waarmee een ongeauthenticeerde aanvaller als root op het systeem kon inloggen.

De kritieke kwetsbaarheid, aangeduid als CVE-2023-20101, bevindt zich in de Cisco Emergency Responder. Deze oplossing moet ervoor zorgen dat de Cisco Unified Communications Manager of andere voip-oplossing noodgesprekken naar de juiste lokale meldkamer doorstuurt. Ook worden via de oplossing logs van noodoproepen bijgehouden, alsmede de locatie van de beller vastgesteld.

De Cisco Emergency Responder bevat een hardcoded wachtwoord voor een root-account dat niets is te verwijderen of aan te passen. Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling. Via het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 met een 9.8 is beoordeeld, kan een aanvaller als root op een kwetsbaar systeem inloggen. Organisaties worden opgeroepen de nu beschikbare gestelde update te installeren. Workarounds zijn niet beschikbaar.

Reacties (11)
Reageer met quote
05-10-2023, 13:59 door Briolet
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.

Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Reageer met quote
05-10-2023, 14:57 door Anoniem
(2004) https://tweakers.net/nieuws/31904/alle-cisco-wlses-hebben-niet-te-verwijderen-backdoor.html
(2010) https://www.networkworld.com/article/2229760/cisco-backdoor-still-open.html
(2013) https://community.cisco.com/t5/other-security-subjects/backdoor-in-cisco-routers-and-firewalls/td-p/2369806
(2014) https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backdoors-in-cisco-products.html
(2018) https://tech.slashdot.org/story/18/07/21/2133202/a-fifth-undocumented-cisco-backdoor-has-been-discovered
(2018) https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/
(2023) https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-backdoor-persistence-between-reboots/
Reageer met quote
05-10-2023, 15:16 door Anoniem
Door Briolet:
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.

Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.

Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Reageer met quote
05-10-2023, 15:46 door Anoniem
Als Cisco een backdoor maakt moeten ze natuurlijk zien dat je die niet in de versies voor de US zit.
Reageer met quote
05-10-2023, 15:55 door Anoniem
Door Anoniem:
Door Briolet:
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.

Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.

Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.

Jullie onderschatten constant hoe incompetent de meeste ICT'ers eigenlijk zijn.
Reageer met quote
05-10-2023, 16:14 door musiman
@Anoniem 14:57

Fantastische lijst!!!

Lang geleden werkte ik bij een bedrijf dat nauwe banden had met Cisco. Een collega van mij kreeg van Cisco de credentials van de backdoor user om een router (van een klant) onder controle te krijgen die hijacked was...
Reageer met quote
05-10-2023, 16:37 door Anoniem
Door Anoniem:
Door Briolet:
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.

Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.

Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.

Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.
Reageer met quote
05-10-2023, 17:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Briolet:
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.

Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.

Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.

Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.

De incompetentie zit hem in de ICT'ers die continue shortcuts nemen, vaak om "even iets te testen" en vervolgens vergeten dat de test er nog in zit. Zo kom ik regelmatig hardcoded zaken tegen die niet thuishoren in de code, of security engineers die firewalls volledig open zetten om even iets te testen, en dan weer vergeten deze dicht te zetten. Etc. etc. etc. De voorbeelden zijn eindeloos. Dus wat mij betreft zijn deze "backdoors" vaker gewoon incompetentie ipv opzet door "de overheid".
Reageer met quote
05-10-2023, 19:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Briolet:
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.

Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.

Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.

Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.

Er wordt mee bedoeld dat Cisco die backdoor er doelbewust in heeft gestopt, veelal ingegeven door de inlichtingendiensten van de VS. Dat is de reden, en daarom is het naïef om te denken dat dit een ongeluk is. Althans, zo gaat de redenering.
Het is bekend dat Cisco eerder met de NSA heeft samengewerkt en backdoors aan haar producten heeft toegevoegd, dus het zou zeker niet de eerste keer zijn.
En het zou ook naïef zijn om te denken dat de NSA daarmee is gestopt doordat Snowden dit aan het licht heeft gebracht. De oorlog op internet is sinds "Snowden" alleen maar intensiever geworden, niet minder.
Ga er daarom ook maar vanuit dat b.v. Chinese spullenboel standaard een of meerdere backdoors heeft, ook gezien de doelen die China heeft geuit omtrent haar rol op het wereldtoneel.
Reageer met quote
05-10-2023, 19:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door Briolet:
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.

Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.

Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.

Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.

Het naïf gaat over dat het een fout zou zijn. Anoniem 16:37 gaat er blijkbaar vanuit dat dit bij CISCO met opzet gebeurd. Zie ook Anoniem 14:57 en 15:16.
Reageer met quote
06-10-2023, 11:53 door Anoniem
Heldere uitleg! Ik was in de veronderstelling dat bedoeld werd dat die wachtwoorden erin stonden als een soort goedbedoelde 'feature'. Dat kon ik niet goed begrijpen. Dat het met opzet gedaan is, kan ik mij dan ook goed in vinden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search