Cisco: Fest einprogrammiertes Passwort in Admin-Tool für riesige Netze

Sicherheit, passwort, Authentifizierung Bildquelle: Pixabay
Wie im Kleinen, so im Großen: Ganz ähnlich wie die Entwickler von kleinen Home-Routern kommt es auch bei den Systemen eines Anbieters wie Cisco immer wieder zu katastrophalen Sicherheits-Problemen. Und hier geht es nicht um Bugs, die aus der Komplexität der Firmware resultieren, sondern um simple Schlampigkeit der Programmierer.
Infografik: Alles rund ums PasswortAlles rund ums Passwort
So verteilt Cisco beispielsweise gerade einen Patch unter der Kennung CVE-2018-0222. Behoben werde damit ein Problem mit "undokumentierten, statischen Nutzer-Anmeldedaten für den administrativen Standard-Account". Das ist die etwas verklausulierte Art für die Beschreibung eines Backdoor-Kontos, das mit dem Cisco Digital Network Architecture (DNA) Center ausgeliefert wird.

Irgendein Entwickler hat hier also einen Nutzernamen und ein Passwort fest in den Quellcode geschrieben, mit deren Kenntnis man jederzeit Zugang zu dem System bekommt, mit dem Konfigurationen in großen Netzwerken von international operierenden Konzernen oder Providern durchgeführt werden. Das passierte vermutlich zu Testzwecken und wurde schlicht vergessen und so an die Anwender mit ausgeliefert.

Eigene Kontrolle greift jetzt

Ein solcher Fehler darf im Grunde schon nicht passieren, wenn es um Home-Router geht. Bei Systemen, die riesige Netzwerke steuern letztlich schon gar nicht - denn hier können von einem böswilligen Angreifer, der Kenntnis über die Zugangsdaten hat, schnell Schäden in riesiger Höhe verursacht werden. Die Qualitätskontrolle beim Anbieter sollte eigentlich auf so etwas achten - auch aus dem Grund, weil solche Backdoors im Zweifelsfall ja auch mutwillig in den Quellcode geschrieben werden können.

Allerdings ist Cisco zu bescheinigen, dass das Unternehmen in dem Bereich klar dazugelernt hat. Als vor einigen Jahren ähnlich gravierende Probleme beim Konkurrenten Juniper bekannt wurden, stellte man ein Team zusammen, das seitdem Code-Audits über die gesamte interne Software durchführt - was keine kleine Aufgabe ist. Seitdem wurden bereits verschiedene alte und weniger alte Probleme gefunden und auch die hier beschriebene Schwachstelle entdeckten die fraglichen Cisco-Mitarbeiter selbst. Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Pixabay
Diese Nachricht empfehlen
Kommentieren12
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Blitzangebote auf Top OBD2 Autobeleuchtungstester!Blitzangebote auf Top OBD2 Autobeleuchtungstester!
Original Amazon-Preis
19,95
Im Preisvergleich ab
?
Blitzangebot-Preis
12,99
Ersparnis zu Amazon 35% oder 6,96

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden