Verstecktes Root-Passwort gefunden
23.07.2018, 16:06 Uhr
Cisco schliesst massive Sicherheitslücke in Policy Suite für ISPs
In einer für ISPs, Carrier und grosse Unternehmen entwickelten Software wurde ein versteckter Root-Zugang gefunden, der einen Zugang aus der Ferne ermöglicht hat.
Wie der Netzwerkhersteller Cisco Systems nun selbst einräumen musste, war in einer seiner wesentlichen Anwendungen eine nicht dokumentierte Hintertür enthalten. Angreifern sei es damit möglich gewesen, sich mit Root-Rechten aus der Ferne in den Cluster Manager der Policy Suite von Cisco einzuloggen. Die Software enthielt einen versteckten, nicht löschbaren Admin-Account, der remote erreichbar war.
Die Policy Suite ist eine für ISPs (Internet Service Provider), Telekom-Carrier und grosse Unternehmen entwickelte Software, mit der sich etwa genutzte Bandbreiten kontrollieren und Abonnements verwalten lassen. Dazu ist sie mit weitgehenden Rechten und Möglichkeiten ausgestattet. So kann sie etwa nach Informationen des Security-Portals Bleepingcomputer dazu genutzt werden, einzelne Nutzer gezielt zu überwachen. Mit dem undokumentierten Root-Account ist es für Angreifer ein leichtes, auf ungepatchte Systeme mit der Policy Suite von Cisco zuzugreifen und dort Admin-Rechte zu nutzen.
Wichtiger Patch verfügbar
Die einzige Lösung, um das Sicherheitsloch zu schliessen, ist das Einspielen eines Patches für die Policy Suite, den Cisco nun veröffentlicht hat. Nach Angaben des Herstellers gibt es keine andere Möglichkeit, um den versteckten Root-Account zu entfernen. In Version 18.2.0 sei die Lücke nun geschlossen worden. Administratoren können die aktuelle Version mit dem Befehl about.sh auf der Kommandozeile überprüfen.
Nach Angaben von Cisco wurde die Lücke bei internen Software-Audits entdeckt. Der undokumentierte Root-Account sei vermutlich bei Debugging-Tests eingebaut und dann nicht entfernt worden. Laut Bleepingcomputer ist dies aber schon die fünfte Backdoor, die der Netzwerkhersteller in den vergangenen fünf Monaten in seinen Produkten schliessen musste. Betroffen seien auch Prime Collaboration Provisioning (PCP), IOS XE, das DNA-Center (Digital Network Architecture) und der WAAS-Traffic-Optimizer (Wide Area Application Services) gewesen.