Cisco lukker bagdør i sikkerhedsudstyr

Artiklen blev oprindeligt publiceret den 26/6/2015

Sikkerhedsudstyr fra Cisco er udstyret med en standard-nøgle, som udefrakommende angribere kan udnytte til at udføre kommandoer med administratorprivilegier. Cisco har udsendt rettelser, der lukker hullet.

Sårbarheden findes i virtuelt sikkerhedsudstyr af typen Cisco Web Security Virtual Appliance (WSAv), Cisco Email Security Virtual Appliance (ESAv) og Cisco Security Management Virtual Appliance (SMAv).

For WSAv findes fejlen både i versionen til VMware og til KVM. De to øvrige er kun ramt i VMware-versionen.

Sårbarheden består i, at der som standard ligger en autoriseret SSH-nøgle på udstyret. En angriber kan få fat i den private nøgle og bruge den til at forbinde sig til et sårbart system. Angriberen får adgang med privilegier som administrator (root).

En beslægtet sårbarhed lader angribere dekryptere kommunikation mellem enhederne og foretage man-in-the-middle-angreb.

Cisco har udsendt opdateringer, der fjerner bagdøren.

Anbefaling
Opdater til en rettet version.

Links

• Multiple Default SSH Keys Vulnerabilities in Cisco Virtual WSA, ESA, and SMA
• Cisco in single SSH key security stuff-up, artikel fra The Register
• Cisco default credentials – again, indlæg fra SANS Internet Storm Center