Cisco liefert teures Sicherheits-System mit fest eingebauter Backdoor

Gebäude, Haus, Tür, Alt Bildquelle: Public Domain
Bei Cisco kann man auch Systeme für eine größer angelegte Video-Überwachung von Firmengeländen oder ähnlichen Einrichtungen einkaufen. Und während diese verhindern sollen, dass sich jemand unbemerkt Zugang zum Grundstück verschafft, bieten sie die Möglichkeit eines leichten und unbemerkten Zugangs zum Firmennetz. Wie das Unternehmen mitteilte, sei die Video Surveillance Manager Appliance von einer "Default Password Vulnerability" betroffen. Das bedeutet, dass diverse im Einsatz befindliche Systeme über einen fest eingebauten Zugriffspunkt mit einem Standard-Passwort verfügen. Hier wurde offenbar von den Entwicklern der übliche Test-Account vergessen, der für die Tests der Produkte eingesetzt wurde und vor dem Release eigentlich stets zu entfernen ist.

Da die Entwickler bei ihren Systemtests natürlich einen kompletten Zugang benötigen, ist der Account hinter den trivialen Zugangsdaten natürlich mit root-Rechten ausgestattet. Angreifer können entsprechend einen vollständigen Zugang zu dem System erhalten und diese Position dann entweder nutzen, um visuell das Unternehmen auszuspionieren oder aber weitergehende Angriffe vorzubereiten.

Manuelle Lösungen gibt es nicht

Cisco hat zum Zeitpunkt der Veröffentlichung der genannten Informationen auch schon ein Update parat, mit dem die Schwachstelle aus der Welt geschafft wird. Unternehmen, die die Video Surveillance Manager Appliance einsetzen, sollten dieses natürlich entsprechend zügig installieren, damit es jetzt nicht zu Problemen kommt.

Der Hersteller weist darauf hin, dass es keinen Workaround für das Problem gibt. Der Administrator kann den fraglichen Test-Account also auch nicht von Hand entfernen, da dieser wirklich fest in den Code eingebaut wurde. Die einzige Option wäre also, den Fernzugriff auf das Überwachungssystem komplett zu kappen. Das würde aber wohl vielfach zu weitergehenden Schwierigkeiten anderer Art führen.

Das hat doch System: Fest einprogrammiertes Passwort in Cisco-Admin-Tool für riesige Netze Gebäude, Haus, Tür, Alt Gebäude, Haus, Tür, Alt Public Domain
2018-09-25T13:36:00+02:00
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 16:20 Uhr ABOX Raspberry Pi 3 Modell B Plus (B +) Ultimatives Starterkit mit 32GB Class 10 SanDisk Micro SD Karte, 2,5A EIN/aus-Schaltnetzteil und Premium BlackABOX Raspberry Pi 3 Modell B Plus (B +) Ultimatives Starterkit mit 32GB Class 10 SanDisk Micro SD Karte, 2,5A EIN/aus-Schaltnetzteil und Premium Black
Original Amazon-Preis
72,98
Im Preisvergleich ab
?
Blitzangebot-Preis
55,99
Ersparnis zu Amazon 23% oder 16,99

Video-Empfehlungen

Tipp einsenden