Gelukkig is het een Amerikaans bedrijf, anders was het meteen een backdoor...

Wanneer gaan leveranciers van kritische infrastructuurcomponenten vervolgd worden voor dit soort gigantische blunders? Het gaat hier immers niet om een onvoorziene bug maar om een bewust geïnstalleerde sleutel met een root-backdoor als gevolg.

Beetje kort door de bocht, niet? Denk je écht dat er bij Cisco mensen bewuste keuzes gemaakt hebben om zo'n makkelijke root-backdoor in hun applicatie te zetten? Als Cisco zo graag een backdoor in z'n software zou hebben, dan zijn er ook wel manieren om dat te bereiken zonder het complete internet er toegang toe te geven.

En top-idee, bedrijven bestraffen als ze kritieke kwetsbaarheden melden. Zal de bereidheid van bedrijven om kwetsbaarheden te disclosen vast ten goede komen. Het enige wat je daarmee bereikt is dat bedrijven kwetsbaarheden onder de pet houden, omdat ze geen boetes willen. Denk ff na.

Je wil als Amerikaanse overheid je NSA-agent bij Cisco toch niet ontmaskeren!

Ja, dat denk ik wel. Het lijkt me sterk dat je zo'n key er per ongeluk instopt. En aangezien het nou niet bepaald de eerste keer is dat er zoiets bij Cisco gevonden is, en Amerikaanse bedrijven in het geheim moeten doen wat de staat hen opdraagt middels national security letters (https://en.wikipedia.org/wiki/National_security_letter) kunnen we hier gerust van een Amerikaanse backdoor spreken.

Dat lijkt me behoorlijk onwaarschijnlijk. Er is hier niet alleen een publieke sleutel in de firmware aanwezig, maar ook een privésleutel die aanvallers eruit kunnen vissen en die dus onversleuteld is. Als bijvoorbeeld de NSA een SSH-backdoor die met een sleutel werkt zou laten verspreiden dan hadden ze hun privésleutel angstvallig voor zich gehouden en die beslist niet onversleuteld aan Cisco geleverd.

Wat me veel waarschijnlijker lijkt is dat ergens tijdens het testen van die firmware iemand voor zichzelf heeft geregeld dat bepaalde handelingen minder omslachtig konden worden uitgevoerd door een sleutelpaar daarvoor te genereren en de privésleutel niet met een wachtwoord te beschermen. En die heeft vervolgens straal vergeten dat weer weg te halen, of werd op een ongelukkig moment ziek of zo. Het is er niet per ongeluk op geplaatst maar het is per ongeluk blijven staan. En de QA-procedures van Cisco hebben deze ongewenste vervuiling dan duidelijk niet afgevangen.

Dat lijkt me wel, ja. Je gaat toch niet vertellen dat zo iets "per ongeluk" kan gebeuren bij een bedrijf als Cisco?
Dat ze daar gewoon op vrijdagmiddag de image van een ontwikkelmachine trekken en dat releasen, en je dan kunt
claimen dat er "per ongeluk" een key van een developer is meegekomen?

Nee, zo werkt dat niet natuurlijk. DIt soort dingen in de distributie stoppen dat zijn wel overwogen keuzes van het bedrijf.
Maar ja, als het niet Huawei is dan is het ineens allemaal niet zo erg en niet zo belangrijk.

waarschijnlijk omdat er ook gewoon mensen werken?

Opzet dus.
Totaal gebrek aan verantwoordelijkheidsgevoel en security awareness, en kennelijk totaal geen toezicht. Misschien eens iets aan QA gaan doen?
Exact. Drama op drama dus, lak hebben aan je gebruikers inclusief hen met kritische infrastructuren, niet nemen van je verantwoordelijkheid dus. En dit is bij lange na niet de eerste backdoor in een Cisco product. Hopelijk helpt het instellen van vervolging en/of het opleggen van zware straffen.

Jaja dus als het Cisco is dan is het "foutje, kan gebeuren" en als het Huawei is dan is het "de Chinese overheid
probeert ons te bespioneren"???

Ga toch weg, man...

Dat klopt, zo wordt dat van telnet als een backdoor bij huwai geframed. Laten we ssh met eens standard sleutel bij Cisco dan ook een backdoor noemen. Nu moet blomberg dat zo nog brengen.
https://www.bloomberg.com/news/articles/2019-04-30/vodafone-found-hidden-backdoors-in-huawei-equipmentl

Handig? Zeker niet, maar hier wordt net gedaan alsof die systemen van internet benaderbaar zijn.
Organisaties die met dit spul werken schermen alle management af van het reguliere netwerk.

Inderdaad - NSA wil wel graag toegang, maar volgens 'NOBUS' - Nobody But Us. De Dual-EC-DRBG rng-met-onbewijsbare-backdoor is een voorbeeld.


De meer high-end Cisco devices hebben qua software architectuur hebben een hypervisor of (Linux)kernel op de bare metal, waarbinnen het 'OS' (NX OS, of IOS-XE ) draait dat de routing/switch protocollen praat, de forwarding via drivers in de hardware zet, en het "normale" management doet (ssh, telnet, snmp etc).
Het "OS" waarop de netwerk engineer inlogt is dus een proces of guest binnen de kernel. Maar toegang tot het onderliggende Linux OS vanuit dit proces is mogelijk (en nodig) soms - eventueel verstopt als commando's binnen NX-OS/IOS .
En dan wordt het opeens logisch om een ssh authorized key op het onderliggende systeem te hebben, en ook de bijbehorende private key 'beschikbaar' - als het normale gebruik is om vanuit de guest bv iets te doen met firmware images die feitelijk leven in de omgeving van de onderliggende kernel .
En in dat type toegang zal dan niet voldoende afgeschermd zijn op IPv6 .

(zie op https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/6-x/troubleshooting/guide/b_Cisco_Nexus_9000_Series_NX-OS_Troubleshooting_Guide/b_Cisco_Standalone_Series_NX-OS_Troubleshooting_Guide_chapter_01100.html#concept_F35E820F7A104C169415B7A795FCC68C

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/7-x/programmability/guide/b_Cisco_Nexus_9000_Series_NX-OS_Programmability_Guide_7x/Overview.html

Dus ja, ernstige bug, en failure bij review/QA, maar geen harde aanwijzing "dit doe je alleen maar als je een remote backdoor wilt aanbrengen" - want de keuze voor SSH als connectie /communicatie protocol tussen (guest) processen en een host OS is wel logisch.
Oja - natuurlijk zijn er allerlei HA/Cluster opties , dus 'alleen binden aan localhost' is ook geen simpel antwoord.

De aanwezigheid van een SSH authorized key + private key hoeft dus niet eens een 'vergeten uit te zetten' development optie te zijn maar kan een vrij logische keuze zijn voor platform software met dit design, waarbij alleen het niet hard genoeg afschermen van de toegang de bug is.

Nounou, als ik dit zo lees is (was) er zelfs nog meer aan de hand.
https://www.zdnet.com/article/ciscos-warning-patch-now-critical-ssh-flaw-affects-nexus-9000-fabric-switches/
Ze blijven het maar proberen he?
Gelukkig hebben ze bij ons routers van een bekend chinees merk. ;P

Inderdaad als dit bij Huawei zou zijn is de wereld te klein. Op fora in het buitenland wordt deze link al meer gemaakt.
En natuurlijk smakelijk om gelachen, dat bij Cisco deze poeha niet gemaakt wordt. Hoe politiek zijn kont er weer eens indraait.

Dank voor deze uitleg. Als dat de opzet inderdaad is dan zit de fout in de IPv6 firewall rules in het onderliggende Linuxsysteem.

Maar ik zou het nog steeds bedenkelijk vinden om vanuit een OS dat vanaf het netwerk bereikbaar is root-toegang tot de hypervisor mogelijk te maken via een onversleutelde private SSH-key. Daar zijn ook wel andere oplossingen voor te bedenken, lijkt me.

Totale onzin, dan is nog steeds een privilege escalation attack mogelijk. Als welke-toegang-dan-ook nodig is, dienen dit soort apparaten bij de ingebruikname op z'n minst de beheerder te wijzen op het bestaan van alle accounts, en in de gelegenheid stellen om de bijbehorende wachtwoorden/keys/andere authenticatiemiddelen te wijzigen. Daarvan is hier geen sprake, het is een hidden backdoor die door een buitenstaander is ontdekt. Dit is ernstig ontverantwoordelijk en daarmee laakbaar gedrag van Cisco, en ik vind het bizar dat zulk gedrag door bijdragers op notabene security.nl wordt goedgepraat.

Als het maar zo is dat de beheerder vóór of uiterlijk tijdens de ingebruikname op de hoogte wordt gesteld van alle toegangsmogelijkheden, én die toegang en/of alle gerelateerde diensten kan uitschakelen, c.q. de benodigde authenticatie kan wijzigen. En dat zodanig dat iemand die over de voorgeprogrammeerde credentials beschikt, daar niets meer mee kan, en dat op geen enkel ander authenticatieniveau.

Bloomberg? Was dat ook niet dat bedrijf dat "geheime chips" in Supermicro computers had ontdekt?
Daar is ook niets van waar gebleken.

Peter

Kennelijk worden Bloomberg journalisten (deels) betaald aan de hand van de populariteit van een artikel.
Tja, dan verdien je meer met een sensatieverhaal wat uit de duim komt dan met een artikel over de golfprestaties van Trump.

https://www.theregister.co.uk/2019/05/02/cisco_vulnerabilities/

Peter

Ze hadden een goede naam voor aandelen/ beleggingen. Met dit soort acties, dan gaat dat hard achteruit.

Geld is een heel belangrijke in de VS. lijkt hoger te staan dan waarheid etc. Niet leuk.

De impact is niet erg groot, want dit soort datacenterswitches zijn natuurlijk alleen benaderbaar via een administrator-terminalserver die alleen via multifactor authenticatie te benaderen is door een handjevol infrastructuuradministrators.