Alle Cisco WLSE's hebben niet te verwijderen backdoor

Cisco heeft afgelopen woensdag bekend gemaakt dat in de software van de Wireless LAN Solution Engine (WLSE) en de Hosting Solution Engine (HSE) een backdoor zit. De backdoor bestaat uit een standaard gebruikersnaam en wachtwoord waarmee iemand volledige controle over een systeem kan krijgen. De gebruikersnaam en het wachtwoord zitten verwerkt in de programmacode en kunnen dus niet uitgeschakeld worden. Het probleem kan enkel opgelost worden met de door Cisco uitgebrachte patch. Iemand die inbreekt in één van de systemen kan alles wat een beheerder ook kan. Zo kunnen er gebruikers aangemaakt worden en instellingen veranderd worden.

Cisco logo WLSE is een product om het beheren van grote draadloze netwerken te vereenvoudigen. Via de backdoor zouden kwaadwillende personen bijvoorbeeld een eigen access point kunnen toevoegen om zo informatie te onderscheppen. Ook kan eenvoudig de frequentie van het netwerk aangepast worden, waardoor het netwerk tijdelijk uit de lucht zal zijn. Het tweede kwetsbare product is HSE. Dit wordt gebruikt om e-business-zaken te regelen. Een kwaadwillend persoon zou hier bijvoorbeeld de verwijzingen van en naar websites kunnen aanpassen, zodat deze websites niet meer bereikbaar zijn. Cisco zegt nog geen meldingen binnen gekregen te hebben van aanvallen waarbij deze backdoor gebruikt zou kunnen zijn.

Gisteren, een dag nadat Cisco deze backdoor bekend had gemaakt, heeft het bedrijf weer een tegenvaller te verwerken gekregen, zo meldt InfoWorld. Er is namelijk een programma verschenen waarmee het mogelijk is om eenvoudige wachtwoorden die draadloos verstuurd worden via LEAP (Lightweight Extensible Authentication Protocol) te ontcijferen. Het programma heet Asleap en is gemaakt door Joshua Wright, een medewerker van de Johnson & Wales universiteit. Hij demonstreerde vorig jaar augustus al hoe makkelijk het was om het netwerkverkeer te onderscheppen en er vervolgens een verzameling veel gebruikte wachtwoorden overheen te halen, waarna hij eenvoudige wachtwoorden zo te pakken had.

Security bug slot Wright heeft Cisco tot gisteren de tijd gegeven om een beter protocol te ontwikkelen en in te voeren. Cisco heeft meteen na de demonstratie een bericht naar alle klanten gestuurd, waarin melding werd gemaakt van de kwetsbaarheid. Afgelopen februari presenteerde Cisco een nieuw protocol voor draadloze netwerken dat een stuk veiliger zou moeten zijn dan LEAP. Het Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) is al aanwezig in de verschillende access points die het bedrijf levert en zal binnenkort waarschijnlijk ook aanwezig zijn in draadloze netwerkkaarten. Cisco heeft de standaard ook meteen maar ingeleverd bij de Internet Engineering Task Force (IETF) zodat het eventueel opgenomen kan worden in de 802.1x WLAN-beveiligingsstandaard waar de IETF aan werkt.

Reacties (31)

SED 9 april 2004 18:21

Voorspelbaar dat ook Cisco aan debeurt is voor dit soort fouten. Weliswaar doet men vaak voorkomen alsof dit alleen aan een MS voorbehouden is maar ieder complex product bevat potentiele fouten of zwakheden.
Dat Cisco op deze opvallende wijze in de fout gaat is inderdaad terecht nieuws. Je zou een dergelijke onbenullige fout niet verwaqchten in een product van de fabrikant die een groot deel van de core van het internet van hardware voorziet.

Dat ook IOS ( de besturing van de cisco switches en outers) kwetsbaar is, blkee een half jaar gelden toen neen zelfde soort gigantische fout ontdekt werd.
probleem met Cisco is daarnaast de lastige en vaak zelfs geld kostende updates voor zwakheden.

Verwijderd @SED • 9 april 2004 19:36

Dat ook IOS ( de besturing van de cisco switches en outers) kwetsbaar is, blkee een half jaar gelden toen neen zelfde soort gigantische fout ontdekt werd.

De fout die een half jaar geleden ontdekt werd in IOS was een fout die op geen enkele manier op deze fout leek. Die fout zorgde ervoor dat als je bepaalde protocollen, die de router of switch normaal alleen maar doorstuurt (routeert of switcht), naar de router of switch zelf stuurde, dat die in een queue kwamen te staan, maar er niet meer uitgehaald werden, met als gevolg dat je na 21 van die pakketten de queue vol had staan en gewoon verkeer er niet meer doorheen ging. Een DOS attack dus. Cisco heeft die toe heel snel gepatched, en zelfs patches uitgebracht voor IOS versies die al jaren oud waren (11.3 en ik meen zelfs nog wat oudere).

probleem met Cisco is daarnaast de lastige en vaak zelfs geld kostende updates voor zwakheden.

Cisco updaten lastig? Dat is echt een fluitje van een cent. Een update die een bug oplost zal geen geld kosten; zolang je dezelfde software-tree blijft gebruiken is de nieuwe versie gratis te krijgen.

Byzanthy @Verwijderd • 10 april 2004 00:05

"it's not a bug, it's a feature!"

Ghost(NL) 9 april 2004 18:17

Dat is vreemd zeg, ik mag toch aannemen dat ze zich bewust waren van datgene wat is ontwikkeld ? Nu vraag ik me af, zouden ze deze backdoor bewust erin hebben gebouwd en nu ze "betrapt" zijn het patchen ? Of is het per ongeluk na de beta fase oid erin blijven hangen ? Dat ze dit mischien gebruikte voor testen als dat ding niet wilde werken ofzo.

Ben benieuwd of iemand enig idee heeft.

musiman

@Ghost(NL) • 9 april 2004 23:51

Het is heel normaal om bijvoorbeeld ook in routers, niet alleen van Cisco, maar bijvoorbeeld ook van 3Com, backdoor users te hebben.

Zo heb ik een tijd bij een grote Nederlandse distributeur gewerkt en vanwege onze contacten met 3Com konden wij een, door externen gehackte en onklaargemaakte, router van 3Com weer werkend krijgen door zo'n backdoor user te gebruiken.
Uiteraard hebben wij deze informatie verder niet wereldkundig gemaakt, want je begrijpt dat dit soort kennis nogal schadelijk is voor de veiligheid van veel bedrijven.

bgever 9 april 2004 18:21

Van een bedrijf als Cisco zou je toch niet verwachten dat ze admin wachtwoorden gaan hardcoden? Vooral in een product dat veel gebruikt wordt...
Of gewoon stom, of beter naar hun programmeurs gaan kijken. Lijkt me namelijk nogal vervelend als hun eigen programmeurs niet zo'n lieverdjes zijn

Verwijderd @bgever • 9 april 2004 19:39

Vooral in een product dat veel gebruikt wordt...

Product dat veel gebruikt wordt? Dat valt best mee; het gaat hier NIET om de accesspoints, maar om een apparaat om je AP's centraal te managen.

Verwijderd 9 april 2004 18:18

Alle Cisco WLSE's hebben niet te verwijderen backdoor

Het probleem kan enkel opgelost worden met de door Cisco uitgebrachte patch.

Hoezo niet te verwijderen dan?

Zpottr @Verwijderd • 9 april 2004 19:22

En wie garandeert dat die patch niet gewoon de login en pw van de "backdoor"-user verandert? Het is helemaal niet gezegd dast de patch de backdoor daadwerkelijk verwijdert. Dit zou reden moeten zijn voor welk bedrijf dan ook, om nooit meer zaken te doen met Cisco.

n4m3l355 @Zpottr • 9 april 2004 23:26

zit 'm er meer in dat normaal zoiets als dit in de cfg geconfigged wordt dit is echter embedded in de code zelf dus niet een losse cfg die te wijzigen valt. een patch zal waarschijnlijk dit stukje code 'verwijderen' met 1 of andere loop (geen idee hoe precies) ik vraag me alleen af of er dan niet iemand komt die deze patch reverse engeneered en dan eens precies kijkt wat het doet.

dat het voorkomt bij cisco.. 3com heeft dit met alle hardware maar dan enkel via de shell. en bij mijn weten moet je ook de alle hardware booten om dit te kunnen doen zodoende krijg ej wel admin lvl access tot de hardware nadeel is wel dat je dus fysieke toegang moet hebben tot dit.
echter webmin tooltjes maakt het wel weer een stuk makkelijker imo om te onderscheppen en ook erg onveilig imo maar goed dat is meer voor de admin

Ghost(NL) @Verwijderd • 9 april 2004 18:19

Het staat er wat krom ja, maar volgens mij bedoelen ze met niet verwijderbaar als in niet uitschakelbaar, wat dmv de patch of wel kan of niet meer hoeft.

RobWijnhoven @Ghost(NL) • 9 april 2004 23:12

Er staat dat de gebruiker hard in de code geklopt staat, wat wil zeggen dat hij niet door een user uit te zetten is (zoals bij een soort guest account bv).

Door een patch te draaien (of bij hardware een firmware update bv) wordt de programma code aangepast en zal de gebruiker weggehaald worden uit de code zelf.

cc bcc @Verwijderd • 9 april 2004 20:57

Pakkende titel om ervoor te zorgen dat mensen het lezen? Een beetje misleidend, of gewoon niet goed over nagedacht.

Jack Flushell

@Verwijderd • 9 april 2004 23:02

Niet te verwijderen voor admins dmv een instelling, alleen door de software te vervangen (dmv een patch) wordt bedoeld. De titel klopt dus

r.pellemans 9 april 2004 18:54

Zo blijkt toch maar weer dat alle grote bedrijven fouten maken. Microsoft, jullie zijn niet de enigste

Vreemd toch dat cisco niet direct een patch uitbracht toen wright er bij hun mee aankwam zetten. Misschien een te hoge eigendunk dat ze dachten dat wright blufte??
we'll never know

eamelink @r.pellemans • 9 april 2004 18:56

De kwestie met Wright gaat over het vinden van makkelijke passwords, en níet over deze backdoor.

Spockz @r.pellemans • 9 april 2004 19:00

Hoge bomen vangen veel wind he.

JoY @r.pellemans • 9 april 2004 19:25

[NL-mode] het woord enigste, bestaat alleen als overtreffende trap van enig, bv. "het enigste meisje"
in jouw context moet het enige zijn

[/NL-mode]
Ik hoop dat ze bij defensie USA hun sisco patch al hebben => http://www.nedlinux.nl/modules/news/index.php?action=showitem&id=1015

Verwijderd 9 april 2004 20:05

Linksys routertjes zijn ook van Cisco... zouden die ook zo'n lek hebben?

Rembert @Verwijderd • 9 april 2004 20:29

Volgens mij draaien die Linksys kastjes geen IOS (hoewel ik destijds, toen ze startten met Linksys wel ergens gelezen had dat ze dat zouden gaan draaien). Kans dat dezelfde bug hier in zit, lijkt me dus minimaal.

Weet iemand trouwens hoe ik met telnet op zo'n linksys kan komen?

Verwijderd 9 april 2004 20:29

Bijna iedereen heeft het hier over "een fout". Maar het is gewoon een backdoor he! Een bewuste keuze van de programmeur of de chef van het team, of misschien is het zelfs bedrijfspolicy dat hardware een backdoor bevat. En als het nou om routers ging (of andere apparatuur die direct aan het internet hangt), zou het zelfs mogelijk zijn dat het resultaat is van CIA eisen.

In ieder geval, het is beslist geen ongelukje.

En DAT is nou precies waarom wij zo van open source houden!

Hodgesaargh @Verwijderd • 9 april 2004 22:08

Zodat we eerst exploits kunnen schrijven om vervolgens half internet te gallen voordat het gepatched is bedoel je

Sfynx @Hodgesaargh • 10 april 2004 02:44

Dat doe je bij niet intentionele bugs, niet bij bewust erin geprogrammeerde backdoors. Die worden dan uberhaupt nooit gereleased.

Cyberamp 9 april 2004 18:20

Heel vreemd. Het mag toch niet gebeuren dat passwords zomaar te achterhalen zijn? Heel vervelend. ZIJ moeten er in de eerste plaats wat aan doen, en niet de consument die er telkens aan moet hoppen wanneer het mis gaat. Hopeloos.

Verwijderd 9 april 2004 18:57

Doet me denken aan m'n mainframe-tijd op een sperry (unisys) 1100 (2200): als je van 1 bijzondere file de lees en schrijfsleutel kende, kon je overal bij

/Edit: dat is niet grappig, maar triest....

Verwijderd 10 april 2004 10:53

En dat userid en password zijn ook al te vinden op het Internet...

Ps. ik ga geen link geven. Je hoeft er ook niet om te vragen. Wil geen problemen krijgen namelijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (31)

Sorteer op:

Weergave: