Fest verbaute Keys: Cisco fällt wieder mit gravierenden Problemen auf

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Der Netzwerkausrüster Cisco galt eine Zeitlang als durchaus vertrauens­würdiger Hersteller robuster Systeme. Doch fällt das Unternehmen seit einiger Zeit immer wieder durch eklatante Sicherheitsmängel auf - und muss nun einmal mehr eilig nachbessern. Sicherheitsforscher hatten in einer Firmware, die gleich auf einer ganzen Serie von Routern für kleinere und mittlere Unternehmen zum Einsatz kommt, diverse Sicherheitsprobleme gefunden. Unter anderem waren hier Krypto-Schlüssel für die Absicherung von verschlüsselten Netzwerkverbindungen fest in der Firmware eincodiert. Und auch Passwort-Hashes für den Root-Zugang zu den Routern fand man fest im Quellcode verankert vor, wie aus einem ZDNet-Bericht hervorgeht.

Im Ergebnis haben also alle Router, die mit der fraglichen Firmware ausgestattet waren, die gleichen Schlüssel für die Codierung des Datenverkehrs verwendet. Aus Sicht der Kryptographie ist das im Grunde gleichbedeutend mit dem Verzicht auf Verschlüsselung. Denn Angreifern würde im Grunde ein Blick in die Firmware reichen, um den privaten Key zu extrahieren, wodurch dann sämtliche Datenströme entschlüsselt werden könnten.

Cisco windet sich

Cisco erklärte in einer ersten Reaktion, dass das Problem letztlich nicht besonders schwerwiegend ist, da die Zertifikate und Schlüssel eigentlich nicht dazu gedacht waren, in Produkten enthalten zu sein, die in den Handel kommen. Allerdings ist doch genau das passiert - womit die ganze Sache natürlich zu einem gravierenden Problem wurde.

Zumindest steht jetzt eine neue Firmware bereit, in der die entsprechenden Schwachstellen behoben sein sollen. Besitzer betroffener Geräte der Serien Cisco RV320 und RV325 sollten also unbedingt eine Aktualisierung vornehmen. Der Hersteller erklärte, dass die Probleme wohl entstanden, weil Entwickler die entsprechenden festen Einbauten zu Testzwecken vorgenommen und dann vergessen hatten.

Siehe auch: Bewusst Produkte mit Sicherheitslücke verkauft: Cisco zahlt Millionen Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)
Diese Nachricht empfehlen
Kommentieren8
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 10:25 Uhr CUBOT J3 SmartphoneCUBOT J3 Smartphone
Original Amazon-Preis
59,99
Im Preisvergleich ab
52,19
Blitzangebot-Preis
47,99
Ersparnis zu Amazon 20% oder 12

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden