image

Cisco waarschuwt voor verlopen van zelf gesigneerde certificaten op 1-1-2020

dinsdag 24 december 2019, 09:51 door Redactie, 12 reacties

Het verlopen van zelf gesigneerde certificaten die op Cisco-apparatuur zijn gegenereerd kan op 1 januari 2020 voor allerlei problemen zorgen, zo waarschuwt de netwerkgigant. Alle X.509 PKI-certificaten die op een groot aantal Cisco-apparaten door gebruikers zijn gegenereerd zullen namelijk op deze datum verlopen.

Zodra de certificaten zijn verlopen zal het vervolgens niet meer mogelijk zijn om nieuwe zelf gesigneerde certificaten te genereren. Diensten die van deze certificaten gebruikmaken voor het opzetten van een beveiligde verbinding zullen dan niet meer werken. Het gaat dan bijvoorbeeld om het inloggen op ssh-servers, het gebruik van HTTP Server over TLS en RESTCONF waar problemen kunnen ontstaan. Ook de communicatie- telefoniediensten van Cisco kunnen stoppen met werken.

Gebruikers kunnen vervolgens foutmeldingen in hun browsers te zien krijgen, geen ipsec-verbinding kunnen opzetten, niet meer kunnen bellen en API-calls zullen mislukken. Volgens securitybedrijf Rapid7 zijn er meer dan 80.000 Cisco-apparaten op internet te vinden die met het probleem te maken zullen krijgen. Dit is volgens het bedrijf het topje van de ijsberg, omdat bij veel organisaties de remote interfaces van hun Cisco-routers en -switches niet toegankelijk vanaf het internet zijn. "De interne blootstelling aan dit probleem zal waarschijnlijk vele malen groter zijn", zegt Bob Rudis van Rapid7.

Om het probleem te verhelpen moeten organisaties de IOS-software van hun Cisco-apparatuur updaten en daarna opnieuw een zelf gesigneerd certificaat genereren en dat uitrollen onder alle gebruikers en apparaten die hiervan gebruikmaken. Een andere oplossing is het installeren van een certificaat dat door een certificaatautoriteit is uitgegeven.

Reacties (12)
24-12-2019, 10:06 door Anoniem
okeeeeeejjj.... en daar komen ze dan mee op 17 december 2019.
de klanten, die al 4 keer teveel betalen voor de hardware en dan ook nog een supportcontract moeten afsluiten om
software updates te mogen ontvangen, zullen wel hardstikke blij zijn met dit bedrijf!

voortaan toch maar Huawei nemen?
24-12-2019, 10:06 door Anoniem
Het is te hopen dat Cisco deze melding al eerder verstuurd heeft.... wordt anders nog ff door werken tussen kerst en oud en nieuw.... :(

TheYOSH
24-12-2019, 10:15 door [Account Verwijderd]
Dat Cisco spul heeft net zoveel basale problemen als Windows, ze zijn beide dan ook weer uivoerig onderwerp van gesprek op de verschillende fora.
24-12-2019, 10:28 door Anoniem
Hmm wacht: geen paniek. Gewoon weer even telnet aan op VLAN1, waar verder toch geen productieverkeer komt, en even afwachten wat er na 1 jan gebeurt.
24-12-2019, 11:39 door Anoniem
Door Anoniem: Hmm wacht: geen paniek. Gewoon weer even telnet aan op VLAN1, waar verder toch geen productieverkeer komt, en even afwachten wat er na 1 jan gebeurt.

Het eigenlijke probleem is deze (uit de cisco link):

Affected releases of Cisco IOS and Cisco IOS XE software will always set the expiration date of the self-signed certificate to 2020-01-01 00:00:00 UTC. After this date, the certificate expires and is invalid.

Ofwel: 1 januari 2020 is hardcoded. Ook nieuwe certs zullen die datum mee krijgen en gelijk verlopen zijn.

Nou is het op zich niet heel spannend om zelf een x509 certificaat te genereren (op een ander device dus!), maar dat gaat wellicht wel wat te ver voor kleine bedrijven.

Zo moet dat nieuwe certificaat niet alleen worden toegepast op $device, maar ook op $clients. Aan de andere kant geldt dat natuurlijk sowieso, ook bij apparaten die wél de update krijgen...
24-12-2019, 12:32 door Briolet
Door Anoniem: Het is te hopen dat Cisco deze melding al eerder verstuurd heeft....

Bij de eerste ingebruikname van het apparaat wist je de verloopdatum al. Cisco verteld dus niets nieuws aan hun klanten. (-:

Erger is wat Anoniem 11:39 schrift. Als je via de software een nieuw certificaat genereert, heeft dat altijd dezelfde einddatum. Eigenlijk een vreemde bug, omdat je normaal de geldigheidsduur van een certificaat opgeeft en nooit de einddatum zelf.

Nou is het op zich niet heel spannend om zelf een x509 certificaat te genereren (op een ander device dus!), maar dat gaat wellicht wel wat te ver voor kleine bedrijven.

Ook voor een klein bedrijf moet dat simpel zijn. Het kan met drie 'openssl' coderegels.
openssl genrsa -out private.key 2048
openssl req -new -out public.crt -key private.key -config openssl.cnf
openssl x509 -req -sha256 -days 3650 -in public.crt -signkey private.key -out public.crt -extensions v3_req -extfile openssl.cnf

Het probleem zal er meer inzitten om dit op je device te krijgen.
24-12-2019, 15:28 door Anoniem
Door Briolet:

Ook voor een klein bedrijf moet dat simpel zijn. Het kan met drie 'openssl' coderegels.

Ik wil ook in jouw bubbel werken , waar mensen die op de cli openssl gebruiken standaard zijn.

Of bedoel je 'in mijn eenmanszaak kan iedereen dit' ? Ja , ik kan dit ook. Maar ik heb genoeg rondgekeken om niet te denken dat iedereen die "iets van IT doet" het ook makkelijk doet. "IT" is bij veel kleinere bedrijven een paar KA werkplekken, en de router is ooit door een reseller neergezet en doet het gewoon. De "IT" beheerder blijft er verder af, of doet niks meer dan wel eens een poortje in een Vlan zetten.

[..]

Het probleem zal er meer inzitten om dit op je device te krijgen.

Hoe te installeren staat allemaal in de link naar de cisco site. Zowel het installeren, als diverse opties om een certificaat te maken, waaronde gebruik van openssl. Het gewenste formaat is overigens een pkcs12 bundel.
24-12-2019, 19:51 door Anoniem
Door Briolet:
Door Anoniem: Het is te hopen dat Cisco deze melding al eerder verstuurd heeft....

Bij de eerste ingebruikname van het apparaat wist je de verloopdatum al. Cisco verteld dus niets nieuws aan hun klanten. (-:

Hoe dan? Stond er op de doos, in de handleiding, op het scherm of elders een melding "let op, dit apparaat werkt
maar tot 1-1-2020"?

En wanneer was dat? In 2010 of was het mogelijk vrij recent dat mensen dit apparaat gekocht en geconfigureerd hebben?
En vind je het ook niet wat bot van Cisco om hier pas op 17 december 2019 een bulletin over uit te brengen?
25-12-2019, 11:10 door Anoniem
Door Briolet:
Door Anoniem: Het is te hopen dat Cisco deze melding al eerder verstuurd heeft....

Bij de eerste ingebruikname van het apparaat wist je de verloopdatum al. Cisco verteld dus niets nieuws aan hun klanten. (-:

Erger is wat Anoniem 11:39 schrift. Als je via de software een nieuw certificaat genereert, heeft dat altijd dezelfde einddatum. Eigenlijk een vreemde bug, omdat je normaal de geldigheidsduur van een certificaat opgeeft en nooit de einddatum zelf.

Nou is het op zich niet heel spannend om zelf een x509 certificaat te genereren (op een ander device dus!), maar dat gaat wellicht wel wat te ver voor kleine bedrijven.

Ook voor een klein bedrijf moet dat simpel zijn. Het kan met drie 'openssl' coderegels.
openssl genrsa -out private.key 2048
openssl req -new -out public.crt -key private.key -config openssl.cnf
openssl x509 -req -sha256 -days 3650 -in public.crt -signkey private.key -out public.crt -extensions v3_req -extfile openssl.cnf

Het probleem zal er meer inzitten om dit op je device te krijgen.

Heel simpel .... ;)

Generating RSA private key, 2048 bit long modulus (2 primes)
............................+++++
.............................+++++
e is 65537 (0x010001)
Can't open openssl.cnf for reading, No such file or directory
1996177424:error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:69:fopen('openssl.cnf','r')
1996177424:error:2006D080:BIO routines:BIO_new_file:no such file:../crypto/bio/bss_file.c:76:
unable to find 'distinguished_name' in config
problems making Certificate Request
1996177424:error:0E06D06A:configuration file routines:NCONF_get_string:no conf or environment variable:../crypto/conf/conf_lib.c:270:
Can't open openssl.cnf for reading, No such file or directory
1996058640:error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:69:fopen('openssl.cnf','r')
1996058640:error:2006D080:BIO routines:BIO_new_file:no such file:../crypto/bio/bss_file.c:76:
25-12-2019, 21:43 door Anoniem
zelf gesigneerde certificaten

Stop daar. Als je dat gebruikt is het gewoon vragen om problemen.
26-12-2019, 17:05 door Anoniem
Door Anoniem: okeeeeeejjj.... en daar komen ze dan mee op 17 december 2019.
de klanten, die al 4 keer teveel betalen voor de hardware en dan ook nog een supportcontract moeten afsluiten om
software updates te mogen ontvangen, zullen wel hardstikke blij zijn met dit bedrijf!

voortaan toch maar Huawei nemen?

:D inderdaad, US backdoors of CN backdoors wat maakt het uit
26-12-2019, 17:16 door Anoniem
Door Anoniem:
zelf gesigneerde certificaten

Stop daar. Als je dat gebruikt is het gewoon vragen om problemen.

Hahahaha wat is dat voor een opmerking! Gebruik jij dan echt certificates van Letsencrypt voor je intra server communicatie voor provisioning etc etc? Buiten dat, vind maar eens een certificate organisatie die .local signed, volgens mij bestaan die niet eens. Je begrijpt toch wel dat de amerikanen dan al je verkeer kunnen decrypten zonder dat je het door hebt?

Elk beetje seriues bedrijf gebruikt self signed certificates. Dus terug naar school jij!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.