Cisco verwijdert hardcoded wachtwoord dat aanvaller root-toegang geeft
Cisco heeft in een product dat de hulpdiensten in de Verenigde Staten en Canada gebruiken om telefoongesprekken naar het noodnummer 911 te routeren en de locatie van de beller vast te stellen een hardcoded wachtwoord verwijderd waarmee een ongeauthenticeerde aanvaller als root op het systeem kon inloggen.
De kritieke kwetsbaarheid, aangeduid als CVE-2023-20101, bevindt zich in de Cisco Emergency Responder. Deze oplossing moet ervoor zorgen dat de Cisco Unified Communications Manager of andere voip-oplossing noodgesprekken naar de juiste lokale meldkamer doorstuurt. Ook worden via de oplossing logs van noodoproepen bijgehouden, alsmede de locatie van de beller vastgesteld.
De Cisco Emergency Responder bevat een hardcoded wachtwoord voor een root-account dat niets is te verwijderen of aan te passen. Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling. Via het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 met een 9.8 is beoordeeld, kan een aanvaller als root op een kwetsbaar systeem inloggen. Organisaties worden opgeroepen de nu beschikbare gestelde update te installeren. Workarounds zijn niet beschikbaar.
Reacties (11)
05-10-2023, 13:59 door
Briolet
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
(2004) https://tweakers.net/nieuws/31904/alle-cisco-wlses-hebben-niet-te-verwijderen-backdoor.html
(2010) https://www.networkworld.com/article/2229760/cisco-backdoor-still-open.html
(2013) https://community.cisco.com/t5/other-security-subjects/backdoor-in-cisco-routers-and-firewalls/td-p/2369806
(2014) https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backdoors-in-cisco-products.html
(2018) https://tech.slashdot.org/story/18/07/21/2133202/a-fifth-undocumented-cisco-backdoor-has-been-discovered
(2018) https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/
(2023) https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-backdoor-persistence-between-reboots/
(2010) https://www.networkworld.com/article/2229760/cisco-backdoor-still-open.html
(2013) https://community.cisco.com/t5/other-security-subjects/backdoor-in-cisco-routers-and-firewalls/td-p/2369806
(2014) https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backdoors-in-cisco-products.html
(2018) https://tech.slashdot.org/story/18/07/21/2133202/a-fifth-undocumented-cisco-backdoor-has-been-discovered
(2018) https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/
(2023) https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-backdoor-persistence-between-reboots/
Door Briolet:
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Als Cisco een backdoor maakt moeten ze natuurlijk zien dat je die niet in de versies voor de US zit.
Door Anoniem:
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Door Briolet:
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Jullie onderschatten constant hoe incompetent de meeste ICT'ers eigenlijk zijn.
05-10-2023, 16:14 door
musiman
@Anoniem 14:57
Fantastische lijst!!!
Lang geleden werkte ik bij een bedrijf dat nauwe banden had met Cisco. Een collega van mij kreeg van Cisco de credentials van de backdoor user om een router (van een klant) onder controle te krijgen die hijacked was...
Fantastische lijst!!!
Lang geleden werkte ik bij een bedrijf dat nauwe banden had met Cisco. Een collega van mij kreeg van Cisco de credentials van de backdoor user om een router (van een klant) onder controle te krijgen die hijacked was...
Door Anoniem:
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Door Briolet:
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.
Door Anoniem:
Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.
Door Anoniem:
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Door Briolet:
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.
De incompetentie zit hem in de ICT'ers die continue shortcuts nemen, vaak om "even iets te testen" en vervolgens vergeten dat de test er nog in zit. Zo kom ik regelmatig hardcoded zaken tegen die niet thuishoren in de code, of security engineers die firewalls volledig open zetten om even iets te testen, en dan weer vergeten deze dicht te zetten. Etc. etc. etc. De voorbeelden zijn eindeloos. Dus wat mij betreft zijn deze "backdoors" vaker gewoon incompetentie ipv opzet door "de overheid".
Door Anoniem:
Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.
Door Anoniem:
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Door Briolet:
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.
Er wordt mee bedoeld dat Cisco die backdoor er doelbewust in heeft gestopt, veelal ingegeven door de inlichtingendiensten van de VS. Dat is de reden, en daarom is het naïef om te denken dat dit een ongeluk is. Althans, zo gaat de redenering.
Het is bekend dat Cisco eerder met de NSA heeft samengewerkt en backdoors aan haar producten heeft toegevoegd, dus het zou zeker niet de eerste keer zijn.
En het zou ook naïef zijn om te denken dat de NSA daarmee is gestopt doordat Snowden dit aan het licht heeft gebracht. De oorlog op internet is sinds "Snowden" alleen maar intensiever geworden, niet minder.
Ga er daarom ook maar vanuit dat b.v. Chinese spullenboel standaard een of meerdere backdoors heeft, ook gezien de doelen die China heeft geuit omtrent haar rol op het wereldtoneel.
Door Anoniem:
Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.
Door Anoniem:
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Door Briolet:
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Volgens Cisco worden dergelijke hardcoded inloggegevens meestal gebruikt tijdens de ontwikkeling.
Slecht programmeerwerk. Alk ik code compileer kan dat voor een testversie of een deploymentversie zijn. Bij het opzetten van je project zorg je er al voor dat dergelijke tijdelijke accounts alleen in de deployment versie meegecompileerd worden. Dan kun je later ook niet vergeten deze te deactiveren bij een release.
Naïef! Die wachtwoorden staan er met een reden in, deze is alleen ontdekt en dus wordt er een verhaaltje gepubliceerd.
Kan iemand mij uitleggen waarom het een goed idee is om wachtwoorden waarbij je root access kan krijgen hardcoded op te slaan? Waarom is het naïef om te zeggen dat dat niet hoort. Dit soort goedpraterij zie ik vaker op deze website voorkomen maar nooit met argumenten waarom dat nou eigenlijk zo is.
Het lijk mij namelijk dus helemaal geen goed idee. 'deze is alleen ontdenkt' is dat een argument? Security through obscurity is geen security. Ik vind dit dus helemaal nergens op slaan. Maar leg vooral uit aan de naïeve en door iemand anders 'incompetente' ICTers hier. Knettergek.
Het naïf gaat over dat het een fout zou zijn. Anoniem 16:37 gaat er blijkbaar vanuit dat dit bij CISCO met opzet gebeurd. Zie ook Anoniem 14:57 en 15:16.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
