Fest verbaute Keys: Cisco fällt wieder mit gravierenden Problemen auf

Der Netzwerkausrüster Cisco galt eine Zeitlang als durchaus vertrauens­würdiger Hersteller robuster Systeme. Doch fällt das Unternehmen seit einiger Zeit immer wieder durch eklatante Sicherheitsmängel auf - und muss nun einmal mehr eilig nachbessern. Sicherheitsforscher hatten in einer Firmware, die gleich auf einer ganzen Serie von Routern für kleinere und mittlere Unternehmen zum Einsatz kommt, diverse Sicherheitsprobleme gefunden. Unter anderem waren hier Krypto-Schlüssel für die Absicherung von verschlüsselten Netzwerkverbindungen fest in der Firmware eincodiert. Und auch Passwort-Hashes für den Root-Zugang zu den Routern fand man fest im Quellcode verankert vor, wie aus einem ZDNet-Bericht hervorgeht.

Im Ergebnis haben also alle Router, die mit der fraglichen Firmware ausgestattet waren, die gleichen Schlüssel für die Codierung des Datenverkehrs verwendet. Aus Sicht der Kryptographie ist das im Grunde gleichbedeutend mit dem Verzicht auf Verschlüsselung. Denn Angreifern würde im Grunde ein Blick in die Firmware reichen, um den privaten Key zu extrahieren, wodurch dann sämtliche Datenströme entschlüsselt werden könnten.

Cisco windet sich

Cisco erklärte in einer ersten Reaktion, dass das Problem letztlich nicht besonders schwerwiegend ist, da die Zertifikate und Schlüssel eigentlich nicht dazu gedacht waren, in Produkten enthalten zu sein, die in den Handel kommen. Allerdings ist doch genau das passiert - womit die ganze Sache natürlich zu einem gravierenden Problem wurde.

Zumindest steht jetzt eine neue Firmware bereit, in der die entsprechenden Schwachstellen behoben sein sollen. Besitzer betroffener Geräte der Serien Cisco RV320 und RV325 sollten also unbedingt eine Aktualisierung vornehmen. Der Hersteller erklärte, dass die Probleme wohl entstanden, weil Entwickler die entsprechenden festen Einbauten zu Testzwecken vorgenommen und dann vergessen hatten.

Siehe auch: Bewusst Produkte mit Sicherheitslücke verkauft: Cisco zahlt Millionen