Huawei-Schlüsselmaterial in Cisco-Firmware

Dinge passieren, wenn sie passieren. Und wenn Entwickler in ihrem eigenen Produkt Libraries von Drittanbietern oder Open-Source-Libraries verwenden, sind sie sich potenzieller Sicherheitsprobleme möglicherweise nicht bewusst. Dass dies auch bekannten Herstellern passiert, mussten die Sicherheitsexperten der Analyseplattform IoT-Inspector im Rahmen einer Überprüfung von Firmware-Images verschiedener Hersteller jüngst erfahren:

Wer ist „Gary“ und warum sind seine Daten in Firmware von Cisco eingebettet?

Ausgangspunkt war ein Firmware-Image für einen „Cisco SG250 Smart Switch“ aus dem vom Cisco-Downloadportal, das in den IoT-Inspector hochgeladen wurde. Die Analyseergebnisse waren seltsam. Die Firmware enthielt einige Zertifikate und einen entsprechenden privaten Schlüssel. Der Speicherort der fraglichen Dateien (/root/.ssh/) ist normalerweise für SSH-Schlüssel vorgesehen, nicht für Zertifikate.

Die Zertifikate stammen von einem Mitarbeiter namens Gary von Futurewei Technologies, einer Tochtergesellschaft von Huawei Technologies in den USA. Wir haben die Ergebnisse aus der IoT-Inspektor-Analyse zweimal überprüft. Sie waren eindeutig. Eine manuelle Analyse bestätigte die automatisierten Ergebnisse ebenfalls. Aber wie konnte ein Zertifikat eines Huawei-Mitarbeiters in ein Cisco-Firmware-Image gelangen?

Angesichts der anhaltenden politischen Kontroversen um Huawei, wollten wir nicht weiter spekulieren und beschlossen, all unsere Informationen an Cisco weiterzugeben. Cisco-PSIRT bestätigte den Erhalt umgehend und leitete eine interne Untersuchung ein. Über den Fortschritt der Ermittlungen wurden wir auf dem Laufenden gehalten und es dauerte nur wenige Tage, bis Cisco die detaillierten Ergebnisse einer gründlichen Analyse mit uns teilte.

Wie sich herausstellte, stammten die fraglichen Zertifikate und privaten Schlüssel aus OpenDaylight-Github, einem Open-Source-Paket, das in einigen Cisco-Produkten verwendet wird. Alle Switches der Cisco-250/350/350X/550X-Serie sind betroffen. Entwickler hatten die Zertifikate zum Testen der Cisco-FindIT-Funktion verwendet. Die Zertifikate landeten unbeabsichtigt in den finalen Firmware-Versionen verschiedener Produkte.

Laut Cisco konnten keine Angriffsvektoren gefunden werden, weil die Zertifikate von den ausgelieferten Firmware-Versionen nicht genutzt werden. Cisco hat dennoch eine aktualisierte Firmware-Version ohne diese Zertifikate gemeinsam mit einer umfangreichen Sicherheitsempfehlung veröffentlicht. Darüber hinaus hat Cisco auch auf andere von IoT Inspector entdeckte Probleme reagiert. Darunter befinden sich leere Passwort-Hashes, nicht benötigte Softwarepakete und mehrere Schwachstellen in TPS-Komponenten (Third-Party Software).

Anbieter, die Software im eigenen Haus entwickeln, sollten genau wissen, welche Komponenten ihre Entwickler verwenden und welche Drittanbieter-Libraries in ihrer Firmware landen, bevor sie diese an ihre Kunden versenden. Hier können automatisierte Sicherheitsanalyselösungen für Firmware wie der IoT-Inspector viel Zeit und Aufwand sparen. IoT-Inspector bietet Transparenz darüber, was sich in einem Firmware-Image befindet, seien es kryptografische Schlüssel, fest codierte Kennwörter, Informationslecks, veraltete Komponenten von Drittanbietern oder verschiedene andere Probleme.

#Netzpalaver #IoTInspector