Cisco maakt fouten met beveiligingsupdates die kwetsbaarheden moesten dichten

Abonneer je gratis op Techzine!

Cisco heeft fouten gemaakt met beveiligingsupdates voor diverse routers. Het gaat om updates die kwetsbaarheden moesten dichten in de RV320- en RV325 WAN VPN-routers, die gebruikt worden door internet security providers en enterprise-gebruikers. De updates bleken echter niet te werken.

Een van de kwetsbaarheden liet een hacker administratieve commands uitvoeren op Cisco-apparaten, zonder dat hier een wachtwoord voor nodig had. Een andere kwetsbaarheid laat hackers gevoelige configuratiedetails van een apparaat bemachtigen zonder dat daar een wachtwoord voor nodig is. De kwetsbaarheden werden in januari ontdekt.

Cisco rolde vervolgens beveiligingsupdates uit om de problemen te verhelpen. Maar volgens onderzoekers van beveiligingsbedrijf RedTeam Pentesting werden de kwetsbaarheden nog altijd actief misbruikt door hackers, schrijft Silicon Angle.

Cisco heeft toegegeven fouten te hebben gemaakt. In een verklaring zegt het bedrijf dat “de eerste oplossing voor deze kwetsbaarheid incompleet blijkt te zijn”. Groter probleem is dat er geen oplossing is voor de kwetsbaarheden. Cisco stelt hier wel aan te werken.

Problemen

Volgens Lane Thames, senior beveiligingsonderzoeker bij Tripwire, zijn er meerdere fouten gemaakt in de beveiligingsupdates. “Allereerst toont dit dat zelfs de grootste makers van software en hardware geen basis practices voor veilige ontwikkeling hebben ingesteld.”

“De engineering achter deze oplossing was vrij onvolwassen als gekeken wordt naar de beveiliging, en suggereert dat zelfs de engineers die werken aan het oplossen van beveiligingsproblemen soms niet snappen hoe ze kwetsbaarheden moeten dichten.” Volgens Thames was de kwetsbaarheid erg basaal en het gevolg van slechte invoer-sanering. De oplossing had dus een ‘input sanatizer’ moeten bevatten, die de input filtert op speciale command line-karakters. Dat had Cisco echter niet gedaan.

Daarnaast heeft Cisco volgens Thames zijn oplossingen niet goed genoeg getest. “De fabrikant had beter samen moeten werken met de penetratietesters die de originele kwetsbaarheden hebben gevonden. Deze testers hadden de gepatchte firmware voor Cisco kunnen analyseren, om te bevestigen dat het een goede oplossing was, voor deze openbaar werd gemaakt.”