Cisco waarschuwt voor standaardaccount in accesspoint

Netwerkapparatuurfabrikant Cisco waarschuwt dat er een standaardaccount aanwezig is in zijn Aironet 1850- en 1830-accesspoints. Daarmee kan een aanvaller via ssh een kwetsbaar apparaat overnemen.

cisco aironet Volgens Cisco zijn de accesspoints kwetsbaar als ze een versie 8.2.x van zijn Mobility Express-software draaien die ouder is dan versie 8.2.111.0. Dat betekent dat versies 8.1 en 8.0 niet kwetsbaar zijn. De fabrikant meldt dat het niet uitmaakt welke configuratie het apparaat heeft en dat een aanvaller verbinding moet hebben via de netwerklaag. Gebruikers wordt aangeraden een update uit te voeren.

Doordat een aanvaller over de juiste inloggegevens beschikt, kan hij via ssh verbinding maken met een kwetsbaar accesspoint en verhoogde rechten op het systeem verkrijgen. Daarmee kan hij het apparaat volledig overnemen. Cisco richt zich met de twee modellen op enterprise-klanten.

Reacties (35)

Verwijderd 6 april 2017 12:52

Hoe sluipt zoiets als dit per ongeluk je firmware in?

Verwijderd @Verwijderd • 6 april 2017 13:11

Even alle complot theorieën daar gelaten, het meest voorkomende probleem is lazy developers die test-code per ongeluk laten zitten in de final versie van de code.

To_Tall

@Verwijderd • 6 april 2017 13:16

En deze ontwikkelaar dacht grappig te zijn met NSA...

De vraag is natuurlijk ook.. Wat voor rechten heeft dit accout. Is dit een USR account of gelijk root?

JackBol @To_Tall • 6 april 2017 14:14

De default credentials hebben niets met de NSA te maken zoals @Remie suggereert. Het is gewoon cisco/cisco. Het gaat om full access overigens.

Zoals SaintK al zegt, waarschijnlijk een fout gemaakt in het build proces waarbij testaccounts uit de code worden verwijderd.

Grove fout natuurlijk, maar die NSA conspiracy theories gaan wel een beetje te ver lijkt me.

[Reactie gewijzigd door JackBol op 23 juli 2024 08:16]

cbravo2 @Verwijderd • 6 april 2017 21:33

Laten we zeggen dat we dus een aantal dingen kunnen uitsluiten;
- Er is dus geen goede code review door mensen die kaas hebben gegeten van security code reviews. Verrassend voor een bedrijf als Cisco.
- Als ze geen security code reviews doen, dan is de kans dat ze veilige code schrijven ook erg klein. Hoe komen ze dan aan die kennis & vaardigheden?

Het is òf bovenstaande of er is een heel ander proces gaande dat dit soort zaken injecteerd. Maar dan:
- Kennelijk is er geen verantwoordelijkheid van software ontwikkeling, die een build maakt die te traceren is naar de binaries. Iets met het ontbreken van het signeren van dit soort zaken.
- Geen globaal security beleid dat hout snijd. Voor de belangrijkste netwerkboer ter wereld.

In beide gevallen werken ze niet secure.

Verwijderd @cbravo2 • 7 april 2017 12:45

Voor de belangrijkste netwerkboer ter wereld.

Vraag me met dit soort geouwehoer af hoe lang dat nog zo blijft. Er is inmiddels in netwerkland best veel concurrentie links en rechts.
Als Cisco spul naast peperduur en (mijns inziens) nodeloos complex nu ook onbetrouwbaar gaat blijken gaat dat nog interessant worden.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:16]

Runawayfive @Verwijderd • 6 april 2017 12:54

Ik betwijfel dat dit per ongeluk is

Glashelder

@Verwijderd • 6 april 2017 12:55

Dit is werk van de Russische geheime dienst natuurlijk.

0xygen500 @Glashelder • 6 april 2017 13:13

Bedoel je daar de echte Russische dienst mee of de NSA die zich voor doet als Russische dienst?

xxxneoxxx @0xygen500 • 6 april 2017 13:16

Something something vault 7 Marble framework

Remie 6 april 2017 12:49

User: NSA
Pass: NSA123

Waarom heeft enterprise apparatuur plotseling zo'n (onbekend) standaardaccount.
Klinkt als een bewuste backdoor

[Reactie gewijzigd door Remie op 23 juli 2024 08:16]

Verwijderd @Remie • 6 april 2017 13:03

Klopt. Maar het is nu naar buiten gekomen en nu moeten ze het verwijderen.

Waarschijnlijk bouwen ze weer een ander standaardaccount in, ditmaal ietsje beter verborgen door middel van certificate pinning of zo.

tweaker_robert @Verwijderd • 6 april 2017 13:15

Precies, en zonder dat er zoiets in zit mag het niet op de markt komen in Patriot Act land.
Net als dat dat dus in iedere smartphone zit uit dat fantastische land.
Vandaag het trieste nieuws dat de enige open source smartphone stopt.

Verwijderd @tweaker_robert • 6 april 2017 18:38

Op basis van welke bron, beweer jij dat er backdoors moeten zitten in apparatuur uit de VS?

De NSA onderschept apparatuur en plaatst backdoors.
De NSA en CIA ontwikkelen exploits.

De rest van de wereld trouwens ook.

Open source smartphone: Sailfish OS

https://en.wikipedia.org/wiki/Sailfish_OS

Dus?

xbeam

Accesspoints

@Verwijderd • 6 april 2017 14:25

Het is ook niet de eerste keer voor sisco

nieuws: Alle Cisco WLSE's hebben niet te verwijderen backdoor

sorry dubbel

[Reactie gewijzigd door xbeam op 23 juli 2024 08:16]

Bl@ckbird

Cisco

@xbeam • 6 april 2017 15:31

13 jaar geleden...

Daarnaast: Deze spullen worden vaak beheerd via een appart management VLAN. Als mensen toegang hebben tot het AP, dan is het verder op in je netwerk al goed mis.

[Reactie gewijzigd door Bl@ckbird op 23 juli 2024 08:16]

Verwijderd @Bl@ckbird • 8 april 2017 17:46

Deze spullen worden vaak beheerd via een appart management VLAN. Als mensen toegang hebben tot het AP, dan is het verder op in je netwerk al goed mis.

Ik heb nog nooit een bedrijf gezien, of zelf de noodzaak gezien, om voor management van hardware een apart VLAN in te richten. Zeker niet als je het hebt over SSH.
Misschien doe je dat in Enterprise omgevingen waar je te maken hebt met hele stricte compliancy regels zoals in het bankwezen o.i.d. maar de praktijk is e.e.a. gewoon in het normale of eventueel datacenter subnet te benaderen, of misschien zelfs gewoon via internet.
Dat kan ook prima met een wachtwoordbeleid dat ergens op slaat of, beter, als je gewoon met certificaten tussen devices trusts op zet.
Wat je zegt in de context van dit probleem vind ik al met al niet echt hout snijden, volgens mij overdrijf je tamelijk royaal.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:16]

bbob

Netwerk en systeembeheer

@Verwijderd • 6 april 2017 13:18

conclusie lijkt me heel eenvoudig, dag cisco, de deur uit met cisco hardware als je de boel veilig wil houden.

xbeam

Accesspoints

@bbob • 6 april 2017 14:24

Het is ook niet de eerste keer

nieuws: Alle Cisco WLSE's hebben niet te verwijderen backdoor

JackBol @bbob • 6 april 2017 14:17

Ik vraag me toch af hoe mensen zoals @bbob1970 en @ArtGod karmabadges verdienen voor Beheer en beveiliging met zulke ongenuanceerde opvattingen.

bbob

Netwerk en systeembeheer

@JackBol • 6 april 2017 15:11

Je kan met alle plezier - tekens geven al je dat wil, doe je best.

Ik kijk trouwens niet eens naar plus of min of karma.
Krijg ik die, dan zal ik wel iets verwoorden waardoor anderen behoeft hebben om + te geven. Misschien kun je jou vraag dan beter stellen aan de mensen die dat doen, schijnbaar ben jij van mening dat ze die mensen niet goed bezig zijn.

Wat betreft ongenuanceerd. Cisco is niet het eerste de beste merkt, het is denk ik de top speler op netwerkgebied of 1 van de top spelers. Van dit soort bedrijven mag je toch verwachten dat ze met veiligheid goed omgaan. Het gaat ook niet om een goedkoop wifi routertje uit china maar een dik betaalde versie.
Het is daarnaast ook niet de eerste keer dat er sprake is van al dan niet bewuste achterdeurtjes in cisco hardware.
Je mag je dan best afvragen of er nog meer achterdeurtjes in andere hardware van cisco zit.
Dumpen als je van veiligheid afhankelijk bent is dan niet zo ongenuanceerd. Maar goe dat is jou mening

Verwijderd @bbob • 6 april 2017 15:37

Als je denkt te kunnen claimen dat Cisco niet goed omgaat met veiligheid dan is die tag je inderdaad niet waardig.

Je hebt gelijk, dit zou niet voor mogen komen, echter, het gebeurd toch. Waar mensen werken maken mensen fouten, hoe goed je controle proces ook is, dingen kunnen fout blijven gaan.

Cisco voert een aantal indrukwekkende security producten en diensten en hebben een enorme security afdeling. Security is hier zeker wel van zwaar belang.

bbob

Netwerk en systeembeheer

@Verwijderd • 6 april 2017 15:59

Als je denkt te kunnen claimen dat Cisco niet goed omgaat met veiligheid dan is die tag je inderdaad niet waardig.

Als jij het hebben van een standaard account goed omgaan met veiligheid noemt dan komen we niet veel verder.

Maar idd als je als bedrijf als cisco meermaals dit soort zaken hebt en een standaard account hebt ga je idd niet goed om met veiligheid. Van een bedrijf als cisco mag en moet je verwachten dat dit nooit mogelijk was geweest.

Schijnbaar is er intern geen veiligheidsprotocol die hierop checkt in de code. Tenzij zoals er gesteld wordt dit bewust gedaan is, hetgeen het nog veel erger zou maken.

bbob

Netwerk en systeembeheer

@Verwijderd • 6 april 2017 15:13

Natuurlijk vol gas, het is hier toch een beetje discussie.

Of het al dan niet ongenuanceerd is, is voor iedereen zelf te bepalen. Denk dat de meeste die vol gas antwoord geven echt niet denken van aha dat brengt mij weer wat punten op. Het wordt wel heel moeilijk als je je reactie op mogelijke populaire punten moet gaan schrijven.

Yggdrasil

@bbob • 6 april 2017 13:33

Liever de Chinese fabrikanten dan?

henk717 @Yggdrasil • 6 april 2017 13:38

https://securityzap.com/w.../12/layered-security.jpeg

bazs2000 6 april 2017 12:58

Het is 2017, heden ten dagen met dergelijke fouten komen in die wereld is gewoon onacceptabel.
We hebben het hier niet over een bugje maar over volledige toegang.

Gebruikers wordt aangeraden een update uit te voeren, en als de gebruikers dat missen (wat veelvuldig voorkomt)? Zoiets wil je toch niet in jouw netwerk hebben hangen?

Daniel_Elessar @bazs2000 • 6 april 2017 14:23

Dat wil je inderdaad niet in je netwerk hebben. Echter heeft Cisco nog altijd wel een grote naam in netwerk land. Ze hebben ook voor verschillende omgevingen goede oplossingen. Dit sorrt dingen zijn inderdaad zeer triest te noemen.

Verwijderd @bazs2000 • 6 april 2017 13:04

Dit lijkt mij geen fout. Dit is gewoon een opzettelijke achterdeur.

Geen wonder dat ze in China vrijwel geen Cisco meer verkopen.

gjmi @Verwijderd • 6 april 2017 13:40

Dit is geen achterdeur. Dit is gewoon de voordeur openzetten.

LordPan 6 april 2017 15:54

de enterprise klant zal geen 1850 series met mobility express nemen, en al helemaal geen 1830 series (met of zonder mobility express).

Mobility express heb ik onlangs getest en zelfs voor de KMO (MKB) klanten die ik ondersteun heeft dit te weinig opties aan boord om een goed wifi netwerk in te kunnen stellen.

De 1830 series draait dan weer op een broadwell chipset die minderwaardig is aan de Marvell wireless chips die normaal in hun Aironet producten zit, die was gekozen omdat ze ten tijde dat die (1830) uit kwam er geen 802.11ac Wave2 Marvell chipsets waren en commercieel gezien moesten ze een 802.11ac Wave2 model in de line up hebben.

Deze accesspoints zonder de virtuele Mobility Express controller op hebben deze "bug" trouwens niet.

Amasik 7 april 2017 14:21

Het is een standaard account in de mobility express code. Dat is gewoon een product van Cisco wat gewoon nog helemaal niet af is, dit is dan een specifiek security issue maar op stabiliteit is het hele product een drama.

We zijn begonnen met de mobility expres omdat het heel snel moest maar nu zitten we op 2504 controllers en sindsdien zijn al onze problemen weg. Meerdere keren met Cisco support aan de lijn gezeten waar echt 0,0 bruikbare support uit kwam.

Voor iedereen die tegen dit issue aanloopt is mijn advies niet om de software van een upgrade te voorzien om dit security issue op te lossen, maar de complete oplossing overboord te zetten en echte controllers te gebruiken.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (35)

Sorteer op:

Weergave: