Huawei Schlüsselmaterial in Cisco-Firmware

(PresseBox) ( Berlin, )
Dinge passieren, wenn sie passieren. Und wenn Entwickler in ihrem eigenen Produkt Libraries von Drittanbietern oder Open Source-Libraries verwenden, sind sie sich potenzieller Sicherheitsprobleme möglicherweise nicht bewusst. Dass dies auch bekannten Herstellern passiert, mussten die Sicherheitsexperten der Analyseplattform IoT Inspector im Rahmen einer Überprüfung von Firmware-Images verschiedener Hersteller jüngst erfahren:

Wer ist „Gary“ und warum sind seine Daten in Firmware von Cisco eingebettet?

Ausgangspunkt war ein Firmware-Image für einen Cisco SG250 Smart Switch aus dem vom Cisco-Downloadportal, das in den IoT Inspector hochgeladen wurde. Die Analyseergebnisse waren seltsam. Die Firmware enthielt einige Zertifikate und einen entsprechenden privaten Schlüssel. Der Speicherort der fraglichen Dateien (/root/.ssh/) ist normalerweise für SSH-Schlüssel vorgesehen, nicht für Zertifikate.

Die Zertifikate stammen von einem Mitarbeiter namens Gary von Futurewei Technologies, einer Tochtergesellschaft von Huawei Technologies in den USA. Wir haben die Ergebnisse aus der IoT-Inspektor-Analyse zweimal überprüft. Sie waren eindeutig. Eine manuelle Analyse bestätigte die automatisierten Ergebnisse ebenfalls. Aber wie konnte ein Zertifikat eines Huawei-Mitarbeiters in ein Cisco-Firmware-Image gelangen?

Angesichts der anhaltenden politischen Kontroversen um Huawei, wollten wir nicht weiter spekulieren und beschlossen, all unsere Informationen an Cisco weiterzugeben. Cisco PSIRT bestätigte den Erhalt umgehend und leitete eine interne Untersuchung ein. Über den Fortschritt der Ermittlungen wurden wir auf dem Laufenden gehalten und es dauerte nur wenige Tage, bis Cisco die detaillierten Ergebnisse einer gründlichen Analyse mit uns teilte.

Wie sich herausstellte, stammten die fraglichen Zertifikate und privaten Schlüssel aus OpenDaylight Github, einem Open Source-Paket, das in einigen Cisco-Produkten verwendet wird. Alle Switches der Cisco 250/350/350X/550X-Serie sind betroffen. Entwickler hatten die Zertifikate zum Testen der Cisco FindIT-Funktion verwendet. Die Zertifikate landeten unbeabsichtigt in den finalen Firmware-Versionen verschiedener Produkte.

Laut Cisco konnten keine Angriffsvektoren gefunden werden, weil die Zertifikate von den ausgelieferten Firmware-Versionen nicht genutzt werden. Cisco hat dennoch eine aktualisierte Firmware-Version ohne diese Zertifikate gemeinsam mit einer umfangreichen Sicherheitsempfehlung veröffentlicht. Darüber hinaus hat Cisco auch auf andere von IoT Inspector entdeckte Probleme reagiert. Darunter befinden sich leere Passwort-Hashes, nicht benötigte Softwarepakete und mehrere Schwachstellen in TPS-Komponenten (Third Party Software).

Anbieter, die Software im eigenen Haus entwickeln, sollten genau wissen, welche Komponenten ihre Entwickler verwenden und welche Drittanbieter-Libraries in ihrer Firmware landen, bevor sie diese an ihre Kunden versenden. Hier können automatisierte Sicherheitsanalyselösungen für Firmware wie der IoT Inspector viel Zeit und Aufwand sparen. IoT Inspector bietet Transparenz darüber, was sich in einem Firmware-Image befindet, seien es kryptografische Schlüssel, fest codierte Kennwörter, Informationslecks, veraltete Komponenten von Drittanbietern oder verschiedene andere Probleme.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.