Huawei Schlüsselmaterial in Cisco Firmware

Dinge passieren, wenn sie passieren. Und wenn Entwickler in ihrem eigenen Produkt Libraries von Drittanbietern oder Open Source-Libraries verwenden, sind sie sich potenzieller Sicherheitsprobleme möglicherweise nicht bewusst. Das Testen von Firmware auf Schwachstellen ist zeitaufwändig und dennoch absolut notwendig, um den gängigen Sicherheitsstandards und gesetzlichen Anforderungen zu entsprechen. Aus genau diesem Grund haben wir IoT Inspector entwickelt: um Sicherheitsanalysen von Firmware zu automatisieren und eine skalierbare Grundlage zu ermöglichen.

Wir verbessern ständig die Analysefunktionen von IoT Inspector. Um neue Funktionen und Fähigkeiten zu testen, analysieren wir regelmäßig Firmware-Images verschiedener Hersteller. Eines der jüngsten Ergebnisse hat uns überrascht…

Wer ist Gary und warum sind seine Daten in Firmware von Cisco eingebettet?

Ausgangspunkt war ein Firmware-Image für einen Cisco SG250 Smart Switch aus dem vom Cisco-Downloadportal, das in den IoT Inspector hochgeladen wurde. Die Analyseergebnisse waren seltsam. Die Firmware enthielt einige Zertifikate und einen entsprechenden privaten Schlüssel. Der Speicherort der fraglichen Dateien (/root/.ssh/) ist normalerweise für SSH-Schlüssel vorgesehen, nicht für Zertifikate.

Die Zertifikate stammen von Gary der Organisation Futurewei Technologies, einer Tochtergesellschaft von Huawei Technologies in den USA. Wir haben die Ergebnisse aus der IoT-Inspektor Analyse zweimal überprüft. Sie waren eindeutig. Eine manuelle Analyse bestätigte die automatisierten Ergebnisse ebenfalls. Aber wie konnte ein Zertifikat eines Huawei-Mitarbeiters in ein Cisco-Firmware-Image gelangen?

IoT Inspector results for a certificate issued by Gary Wu
IoT Inspector fand für ein Zertifikat von Gary
IoT Inspector directory browser
Verzeichnisstruktur aus dem IoT Inspector

Angesichts der anhaltenden politischen Kontroversen um Huawei, wollten wir nicht weiter spekulieren und beschlossen, all unsere Informationen an Cisco weiterzugeben. Cisco PSIRT bestätigte den Erhalt umgehend und leitete eine interne Untersuchung ein. Über den Fortschritt der Ermittlungen wurden wir auf dem Laufenden gehalten und es dauerte nur wenige Tage, bis Cisco die detaillierten Ergebnisse einer gründlichen Analyse mit uns teilte.

Wie sich herausstellte, stammten die fraglichen Zertifikate und privaten Schlüssel aus OpenDaylight Github, einem Open Source-Paket, das in einigen Cisco-Produkten verwendet wird. Alle Switches der Cisco 250/350/350X/550X -Serie sind betroffen. Entwickler hatten die Zertifikate zum Testen der Cisco FindIT-Funktion verwendet. Die Zertifikate landeten unbeabsichtigt in den finalen Firmware-Versionen verschiedener Produkte.

Laut Cisco konnten keine Angriffsvektoren gefunden werden, weil die Zertifikate von den ausgelieferten Firmware-Versionen nicht genutzt werden. Cisco hat dennoch eine aktualisierte Firmware-Version ohne diesen Zertifikaten gemeinsam mit einer umfangreichen Sicherheitsempfehlung veröffentlicht. Darüber hinaus hat Cisco auch auf andere von IoT Inspector entdeckte Probleme reagiert. Darunter befinden sich leere Passwort-Hashes, nicht benötigte Softwarepakete und mehrere Schwachstellen in TPS-Komponenten (Third Party Software). Wir möchten Cisco für die gute Zusammenarbeit und die schnelle und professionelle Abwicklung des Prozesses danken.

Als Anbieter, der Software im eigenen Haus entwickelt, möchten Sie natürlich genau wissen, welche Komponenten Ihre Entwickler verwenden und welche Drittanbieter-Libraries in Ihrer Firmware landen, bevor Sie diese an Ihre Kunden versenden. Hier können automatisierte Sicherheitsanalyselösungen für Firmware wie IoT Inspector Ihnen viel Zeit und Aufwand sparen. IoT Inspector bietet Transparenz darüber, was sich in einem Firmware-Image befindet, sei es kryptografische Schlüssel, fest codierte Kennwörter, Informationslecks, veraltete Komponenten von Drittanbietern und verschiedene andere Probleme.

Gratis IoT Inspector Demo

Wir machen das Internet der Dinge sicherer – eine Firmware nach der anderen.