Advarer mot hardkodede SSH-nøkler i Cisco-programvare

Det finnes ingen workaround. Produktene må oppdateres nå.

En rekke Cisco-moduler har standard, delte SSH-nøkler. Programvaren må oppdateres nå.
En rekke Cisco-moduler har standard, delte SSH-nøkler. Programvaren må oppdateres nå.
26. juni 2015 - 10:28

Cisco har sendt ut feilfiks til en rekke virtuelle sikkerhetsmoduler, som er utstyrt med standard hardkodede autoriserte SSH-nøkler.

Ja, de samme nøklene er delt mellom kundene.

De kan heller ikke endres.

Les også: Samsung deaktiverer Windows Update

Root-aksess

Dette berører fjernadministrasjon i en rekke moduler. En angriper kan utnytte sårbarheten og skaffe seg uautorisert adgang med administrative rettigheter (root).

Cisco oppgir at følgende produkter er berørt:

Web Security Virtual Appliances, Email Security Virtual Appliances, og Content Security Management Virtual Appliances.

Såkalte «appliances» er programvarebaserte moduler med ulike dedikerte oppgaver, blant annet skanning av e-post. Modulene kjører ikke på rutere eller svitsjer, men derimot i virtualiserte miljøer basert på VMware eller KVM (Kernel-based Virtual Machine).

Dersom SSH-nøklene oppdages, og spres – noe en må anta kan skje – vil en angriper i teorien kunne utnytte sårbarheten til å avlytte eller kontrollere trafikken.

- For bedrifter er denne sårbarheten så alvorlig det kan få blitt, advarer nettstedet Threatpost.

Bedrifter må følgelig straks oppdatere de nevnte produktene med feilfiksen leverandøren har gjort tilgjengelig.

Les også: - Trivielt å angripe OS X

På innsiden av brannmur

Cisco Norge toner imidlertid ned trusselen et hakk.

Det må noen forutsetninger til for å utnytte svakheten.

Nils-Ove Gamlem er teknologidirektør i Cisco Norge.
Nils-Ove Gamlem er teknologidirektør i Cisco Norge.
- Denne programvaren befinner seg i utgangspunktet på innsiden av brannmuren. Nøkkelen for administrasjon har vært en såkalt delt nøkkel, så har du tilgang på denne har du også tilgang på programvaren med root-aksess. Det er ikke bra, men det er en del ting som skal ligge til rette før en angriper kan misbruke dette, mener teknologidirektør Nils Ove Gamlem i Cisco Norge.

Modulene har normalt ikke administrasjonsportene sine eksponert mot det åpne internett, så en angriper må typisk ha tilgang til lokalnettet, enten fysisk eller gjennom et VPN.

Gamlem understreker at det er Cisco som oppdaget svakheten, og at oppdateringene selvsagt tilbys fritt for nedlasting.

- Ikke en bakdør

Cisco har for øvrig, illevarslende nok, selv avdekket at 6 av 10 ikke patcher programvare. 60 prosent! Det var blant funnene de trakk frem fra sin årlige sikkerhetsrapport i slutten av januar 2015.

- Hardkodede SSH-nøkler høres ikke bra ut, Gamlem. Noen vil mene at dette er en bakdør?

- Det er veldig vanlig å bruke delte nøkler eller kall det en default key i IT-industrien. Dette er ikke en bakdør som er tilgjengelig remote. Du må faktisk være på lokalnettet for å gjøre noe.

- Er ikke dette likevel en tabbe av Cisco?

- Nei, de delte nøklene er lagt inn bevisst, av hensyn til administrasjon, sier teknologidirektør Nils Ove Gamlem.

Likevel går altså Cisco ut med en sikkerhetsfiks og en sterk anmodning til alle kundene om å straks oppdatere.

Større kunder og kunder med supportavtaler eller abonnement på sikkerhetsoppdateringer skal ifølge ham ha fått informasjon om at de nå bør installere oppdateringene.

Les denne: Dette er bakdøra du aldri finner

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.