Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cisco waarschuwt voor lek in provisioningsoftware door standaardwachtwoord

Netwerkapparatuurfabrikant Cisco heeft gewaarschuwd voor een kritiek lek in zijn provisioningsoftware, waarmee een lokale aanvaller via een standaardwachtwoord toegang kan krijgen tot het besturingssysteem, waarna hij mogelijk zijn rechten kan verhogen naar root.

In een waarschuwing schrijft Cisco dat de lokale aanvaller via ssh toegang kan krijgen tot een kwetsbaar systeem door gebruik te maken van het voorgeprogrammeerde standaardwachtwoord. Op die manier is het mogelijk om beperkte rechten te verkrijgen op het onderliggende Linux-besturingssysteem. Cisco acht het mogelijk dat de aanvaller vervolgens rootrechten verkrijgt en zo volledige controle kan uitoefenen. Normaal gesproken zou het lek niet als kritiek bestempeld worden, maar doordat het verkrijgen van rootrechten tot de mogelijkheden behoort, heeft Cisco voor deze inschatting gekozen.

Het lek met kenmerk CVE-2018-0141 is alleen aanwezig in versie 11.6 van de Prime Collaboration Provisioning-software, ook wel PCP genaamd. Die is bedoeld voor provisioning van gebruikers en diensten voor video- en audiocommunicatie. In versie 12.1 heeft het bedrijf een oplossing voor het lek geďntroduceerd.

Daarnaast waarschuwt Cisco voor een tweede kritieke kwetsbaarheid met kenmerk CVE-2018-0147. Die is aanwezig in de software voor een zogenaamd Secure Access Control System. Een aanvaller zou op afstand via een speciaal Java-object roottoegang tot het systeem kunnen krijgen en met die rechten code kunnen uitvoeren. Alle versies onder 5.8 patch 9 zijn kwetsbaar, waarbij een exploit in sommige gevallen authenticatie vereist. Een patch is beschikbaar in de vorm van versie 5.8.0.32.9. Het product in kwestie wordt sinds augustus van vorig jaar niet meer verkocht.

Door

[HQ] Nieuwsredacteur

26 Linkedin Google+

Reacties (26)

Wijzig sortering
Geld dit ook voor upc/ziggo Cisco EPC3925?
Laatste update is van mei 2014

in bridge met netgear 7000 is het geen probleem dus?

[Reactie gewijzigd door copyer op 8 maart 2018 16:43]

Nee, voor zover ik kan zien gaat PCP alleen over Cisco Unified Communications and Cisco TelePresence® solutions (plat gezegd IP telefoons).

Voor Docsis modems heb je Cisco Prime Cable Provisioning.
Oók PCP dus ;)

De 'C' uit ICT moet dan ook vooral technisch worden geinterpreteerd }>
PCP is een soort portal rond de Unified Communications Manager (CUCM) 'telefooncentrale'. Dit heeft dus niets met andere apparatuur of hardware te maken.

Voor de kenners: dit heeft ook geen invloed op de HCS portal, ook dat is een ander product (dat in de basis wel ongeveer hetzelfde doet, maar dan veel uitgebreider).
Daar zit ook nog een oudere lek in, dus dat gaat nog wel even duren voordat die gedicht wordt
Dat is toch gewoon een WiFi-modem, iets heel anders dan software die op een server of management unit draait? De enige overeenkomst die ik zie is de leverancier van het apparaat en de software: Cisco.
Leuk verhaal, maar al die Cisco hardware heeft iets van 4-6 logins (als in, login voor de linux distro waar de router/switch/whatever op draait) is het niet voor de cisco support medewerker dan wel voor de nsa medewerker die even mee moet kunnen kijken.

Ik weet dat dit behoorlijk beschuldigend klinkt, maar als je op kantoor Cisco hardware hebt staan moet je daar maar eens in duiken, kom je er vanzelf achter dat er mappen zijn voor gebruikers accounts die niet eens bestaan etc, die boel is bewust lek als een mandje.

Maar nee, och en wee, Huawei spioneert voor de chinezen!! dat is wat we vooral niet moeten vergeten, wat ik net over Cisco zeg graag weer zsm vergeten hoor!

[Reactie gewijzigd door olivierh op 8 maart 2018 17:12]

Heb je daar bewijzen van of is het een aanname ?
Ik vind het een beetje te 'gevaarlijk' om hier screens van m'n baas z'n cisco hardware te gaan posten, dus, zoals gezegd, duik eens in het filesysteem van een cisco router of dergelijke, kom je vanzelf de tekenen tegen.
Dat zegt 'ie toch?
die Cisco hardware heeft iets van 4-6 logins (als in, login voor de linux distro waar de router/switch/whatever op draait) is het niet voor de cisco support medewerker
als je op kantoor Cisco hardware hebt staan moet je daar maar eens in duiken, kom je er vanzelf achter dat er mappen zijn voor gebruikers accounts die niet eens bestaan
Oftewel: je moet het zelf even proberen, en dan heb je de bevestiging.

[Reactie gewijzigd door AnonymousWP op 8 maart 2018 17:32]

Dat is al langer bekend, het ligt ook niet aan Cisco, Amerikaanse bedrijven zijn verplicht mee te werken aan verzoeken van de veiligheidsdiensten, ze kunnen er weinig aan doen.Omdat ze hetzelfde gedrag vermoeden bij de Chinese overheid, is de VS falikant tegen het gebruik van Huawei apparatuur door overheidsdiensten.

Op zich is het niet eens zo erg zolang de backdoor maar niet uitlekt, de Amerikanen krijgen toch wel toegang, als het niet linksom gaat, dan gaat het wel rechtsom. Mooiste voorbeeld was nog wel de aanpassing in het Dual_EC_DBRG-algoritme op verzoek van de NSA.

nieuws: 'Juniper gebruikt door NSA verzwakt algoritme voor encryptie'

https://en.wikipedia.org/wiki/RSA_BSAFE
Klopt ook wel, het is ook echt niet alleen Cisco, en het komt ook door de Amerikaanse wetten en niet per-see door Cisco zelf, en het is ook nog eens zo dat echt niet iemand zal gaan inloggen tenzij je op allerlei radars (terrorisme kinderporno etc) verschijnt, maar uiteindelijk als het puntje bij het paaltje komt zitten we wel mooi met onveilige hardware opgescheept, en als die logins een keer uitlekken dan hebben we met zn allen wel ontzettend veel stront aan de knikker.

Leuk weetje, vrijwel iedereen heeft destijds die 'Dual_EC_DBRG' random generator standaard naast zich neergelegd (edit: in ieder geval buiten Amerika, binnen Amerika zijn bedrijven omgekocht) omdat vanaf dag 1 al pijnlijk duidelijk was dat er iets niet klopte, en met de jaren is vrijwel zeker geworden dat het gewoon een achterdeur bevatte. Hier een leuk filmpje daarover.

[Reactie gewijzigd door olivierh op 8 maart 2018 18:05]

Wordt het dan geen tijd dat we hier dan ook Amerikaanse apparatuur gaan weigeren?
zou wel fijn zijn, maar krijg dat er maar eens doorheen
.Omdat ze hetzelfde gedrag vermoeden bij de Chinese overheid, is de VS falikant tegen het gebruik van Huawei apparatuur door overheidsdiensten.
Er is werkelijk niemand die daaraan twijfelt.
Valt die assumptie dan helemaal niet te verifiëren met logging software?
Ik bedoel, het moet toch mogelijk zijn om het verkeer door zo'n apparaat te analyseren en het doorgaand verkeer eruit te filteren waarna het verkeer exclusief naar en van het apparaat gedetecteerd kan worden? Dan heb je volgens mij de 'boosdoener' zo te pakken.
Edit: Work in progress.

[Reactie gewijzigd door ajolla op 8 maart 2018 23:36]

Amerikaanse bedrijven zijn verplicht mee te werken aan verzoeken van de veiligheidsdiensten, ze kunnen er weinig aan doen

Waar, maar dat is niet anders dan dat Nederlandse bedirjven of Amerikaanse bedrijven met vestigingen in Nederland, aan verzoeken van de Nederlandse veiligheidsdiensten moeten voldoen ... O-)

In die zin is de volgende gedachte volstrekt logisch: Omdat ze hetzelfde gedrag vermoeden bij de Chinese overheid, is de VS falikant tegen het gebruik van Huawei apparatuur door overheidsdiensten.

Sterker nog je bent dus wel enorm naief als je denkt dat Huawei niet meewerkt met verzoeken van de Chineze overheid.

Wat wél de vraag is of Amerikaanse bedrijven actief spioneren namens de Amerikaanse overheid buten de landsgrenzen. Daar is ruim 5 jaar na Snowden nog geen bewijs voor. Net zoals de AIVD een zeg maar KPN niet dwingt in Egypte of zo te spioneren.
Huawei spioneert voor de chinezen!! dat is wat we vooral niet moeten vergeten, wat ik net over Cisco zeg graag weer zsm vergeten hoor!

Het een sluit het andere niet uit O-)
Meh, 't is maar wat je "niet kritiek" noemt. (edit: beter lezen, Cisco noemt het wel kritiek) PCP an sich is niet zo spannend, maar het heeft wel toegang tot andere UC componenten, zoals Callmanager (de centrale) en Unity (voicemail). Het heeft ook (indien geconfigureerd) beperkte schrijfrechten tot Active Directory. Niet iets waar je ongeauthoriseerde root-access in wilt.

PCP heeft als functie om nieuwe users te provisionen (of ex-users te un-provisionen). Met root-toegang tot PCP lijkt het mij niet ingewikkeld om, ik noem maar wat, alle gebruikersprofielen uit CM te deleten, en effectief de hele telefonie van een bedrijf plat te leggen. Of iets subtieler, wijzig alle voicemail-passwords en verschaf jezelf toegang tot bedrijfs-voicemail.

Het is jammer dat deze bug 11.6 treft, want met 12.x heb ik tot op heden geen goede ervaringen. Eerlijk gezegd blijf ik PCP een vervelend pakket vinden om mee te werken. Ik begrijp de noodzaak ervan, maar het steekt zo compleet anders in elkaar als andere UC-componenten, op zo'n onoverzichtelijke manier, dat ik er liever vanaf blijf.

12.x heeft (in tegenstelling tot 11) sowieso geen command-line meer waarop je zelf als admin kunt inloggen, alleen Cisco zelf kan dat nog. Wellicht dat dat samenhangt met het statement dat het issue niet meer in 12 zit.

[Reactie gewijzigd door RefriedNoodle op 8 maart 2018 17:44]

Als ik je goed begrijp heb je vanaf versie 12 zelf geen controle over je com apparaat.

Dus alleen een USA bedrijf, met verplichtingen naar o.a NSA, heeft alle toegamgsrechten! 8)7
Dat is dan nu practisch hetzelfde, ja er is CLI toegang maar dat is een aparte schil, je hebt geen directe toegang tot het onderliggende Linux systeem. Alleen datgene wat Cisco voor je beschikbaar heeft gesteld. En voor de meeste CLI opties zit er ook een GUI optie in OS administration.
Bedankt Shinji, dit is iets waar ik wat aan heb. Wellicht weet je hier ook het antwoord op: als ik wijzigingen doorvoer via CLI of GUI kan Cisco deze op afstand terugzetten (of overrulen)?
Als ik je goed begrijp heb je vanaf versie 12 zelf geen controle over je com apparaat.
Dan heb je het niet goed begrepen, of je hebt gelezen wat je het liefste lezen wilde. Het ontbreken van een CLI heeft natuurlijk niets te maken met hoe veilig iets is. Als je alles kan benaderen via de GUI is het exact hetzelfde.

En als je veel rollen alu folie in huis hebt, ja dan zou ik geen US apparatuur kopen. En ook niet uit de UK. En niets uit Rusland. en niets uit China. Laat je even weten wat je op dit moment thuis gebruikt?
Hoe is dit een "lek"? Dit is nalatigheid

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*