Cisco - verdens største leverandør af netværksudstyr til virksomheder - har været ramt af indtil flere it-sårbarheder de sidste måneder.
For fjerde gang på lige så mange måneder har virksomheden ifølge websitet Bleeping Computer fjernet hardcoded legitimations-oplysninger, som en angriber kan udnytte til at få adgang til enheder i netværket. Denne gang er der tale om adgangskoder fundet i Ciscos WAAS.
DKCert oplyser således, at Cisco retter en adgangsfejl i firmaets Wide Area Application Services (WAAS), der er en software-pakke til optimering af WAN-trafikstyring. Rettelsen er en del af en pakke med i alt 28 rettelser.
Bagdørsfunktionen (CVE-2018-0329) blev fundet i en hardcoded read-only SNMP community string i konfigurationsfilen til SNMP daemon.
SNMP, eller Simple Network Management Protocol, er en internetprotokol, der anvendes til at samle data om eller fra eksterne enheder. Den berørte community string var beregnet til at SNMP-servere, der kendte strengen, kunne forbinde til den eksterne Cisco-enhed og samle statiske oplysninger.
Men det har altså vist sig, at en angriber kan udnytte sårbarheden. Ved udnyttelse kan angriberen læse alle data, der er tilgængelige via SNMP, på den sårbare enhed. Problemet er dog godt gemt, anfører DKCert
Fund som disse udløser en velkendt reaktion: Cisco anerkender fejl og sikkerhedsrisiko, men kalder det sårbarheder. Sårbarheder bliver håndteret ved at udgive et sikkehedsfiks eller en opdatering.
To gange i marts og en gang i maj fjernede Cisco lignende bagdørskonti og mekanismer i anden software som Prime Collaboration Provisioning (PCP), operativsystemet IOS XE og Digital Network Architecture (DNA) Center, påpeger Bleeping Computer.
Version2s søstermedie i Norge, Digi.no, har stillet selskabets norske ledelse nogle kritiske spørgsmål.
Hvorfor findes der bagdøre i udstyr, som Cisco Norge sælger til sine kunder? Kan der være legitime grunde til sådanne mekanismer? Kan Cisco garantere, at der ikke findes flere bagdøre, som endnu ikke er opdaget?
Utilsigtede fejl
Svaret fra Sven Thaulow, der er landechef for Norge i Cisco, lyder, at de »tager sikkerhedsproblemer meget alvorligt«. De arbejder kontinuerligt på at varetage sikkerheden og pålideligheden af de produkter, de leverer.
Han henviser til, at Ciscos regler for produktudvikling eksplicit forbyder produktegenskaber eller bevidst opførsel, der muliggør uautoriseret adgang til enheder eller netværk, eksponering af sensitiv information om enheder eller omgåelse af sikkerhedsfunktioner eller restriktioner.
»Når vi eller andre sikkerhedsforskere opdager en sårbarhed, som kan resultere i, at en potentiel angriber med fjerntilgang kan læse data fra en berørt enhed via SNMP, er dette utilsigtet (en bug), og vi arbejder hurtigt for at løse problemet,« skriver Sven Thaulow til digi.no.
Han undlader at svare på digi.no’s spørgsmål og giver i stedet en samlet udtalelse, som kan læses i sin fulde længde i artiklen på digi.no, som du finder link til nederst i artiklen her. Digi.no forsøger i stedet at få svar ved at ringe til teknisk chef Jan Solhøy i Cisco Norge:
Cisco hævder, at når sikkerhedsforskere opdager sårbarheder, som kan føre til fjernangreb mod deres produkter, så er disse at regne som utilsigtede fejl?
»Det er bestemt utilsigtet, idet vi har klare retningslinjer for, at al udvikling af denne type access skal være tilsigtet,« siger Jan H. Solhøy fra Cisco Norge.
Er det tilfældigt, at der er påvist 4 tilfælde på 4 måneder?
»Ja, det vil jeg mene. Det, du henviser til, handler om forskellige produktgrupper med forskellige typer sårbarheder, inkluderet i konfigurationen af Simple Network Management Protocol (SNMP). Der er også andre typer sårbarheder, som vi umiddelbart lukker, når de bliver afdækket. Nogle af disse er fejl opdaget af eksterne sikkerhedsforskere og i andre miljøer, andre bliver opdaget internt af Cisco,« svarer Solhøy.
Er Cisco mere ramt end andre leverandører?
»Nej, det tror jeg ikke. Cisco er et selskab med en utrolig bredde af produkter og teknologier. Vi dyrker innovation på mange områder inden for softwarebaserede netværk. Det kan tilsyneladende virke, som om Cisco rammes oftere, men det skyldes, at vi har en stor bredde i produktspektret,« mener Solhøy.
Cisco har ikke bare været ramt af fejl, men også af angreb. Malwaren VPNFilter, der blev opdaget i slutningen af maj, blev i første omgang meldt ud til at have inficeret 500.000 routere på tværs af kloden. Senere kom det frem at VPN Filter tilsyneladende er mere farlig end først antaget, viste nye fund gjort af Cisco's interne cybersikkerhedsgruppe Talos.
Artiklen er fra digi.no
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
