Cisco Schwache Passwort-Hashes

Cisco führt mit einem Update neue Passwort-Hashes ein. Was zur Erhöhung der Sicherheit dienen sollte, bewirkt das Gegenteil: Die neue Hash-Funktion lässt sich deutlich leichter angreifen, sie nutzt nur eine Iteration von SHA256 und kommt ohne Salt aus.

Mit einem Update für das System IOS führte der Netzwerkausrüster Cisco kürzlich auf seinen Routern und Switches ein neues Hash-Verfahren zur Speicherung von Passwörtern ein. Doch das sogenannte "Type 4"-Verfahren bietet deutlich weniger Sicherheit als das bisher eingesetzte.

Bei sicherheitskritischen Systemen werden Passwörter heute üblicherweise nicht direkt als Klartext abgespeichert. Stattdessen bildet man einen Hash über das gewählte Passwort. Der Vorteil: Bei einem Einbruch oder auch einem Hardwarediebstahl hat der Angreifer nicht sofort Zugriff auf alle verwendeten Passwörter.

Einfach Knacken durch ausprobieren

Doch auch diese Passwort-Hashes lassen sich angreifen - durch schlichtes Ausprobieren. Daher werden zur Speicherung üblicherweise Verfahren verwendet, die sich nicht besonders schnell berechnen lassen. Damit sind gewöhnliche kryptografische Hash-Funktionen hierfür nicht besonders gut geeignet, da diese darauf ausgelegt sind, möglichst schnell zu arbeiten. Passwort-Hashes nutzen deshalb üblicherweise einen einfachen Trick: Eine gängige Hash-Funktion wird mehrfach - beispielsweise 1000 Mal - angewendet.

Um Angriffe zusätzlich zu erschweren, wird ein sogenanntes Salt gebildet. Ein Zufallswert, der mit dem Hash abgelegt wird und gemeinsam mit dem Passwort als Eingabe für die Hash-Funktion dient. Dadurch wird verhindert, dass große Mengen an potenziellen Passwort-Hashes vorberechnet werden können - sogenannte Rainbow-Tables.

Ohne Salz

Ciscos neues "Type 4"-Verfahren nutzt diese Methoden jedoch nicht. Es handelt sich um ein einfaches SHA-256-Verfahren, welches einmalig und ohne Salt ausgeführt wird. Anschließend wird dieser Hash noch BASE64-codiert. Entdeckt wurde dies von Entwicklern des Passwort-Crack-Tools Hashcat. Inzwischen hat Cisco reagiert und ein Security-Advisory veröffentlicht.

"Cisco macht diesen Fehler nicht zum ersten Mal", erklärte Hashcat-Entwickler Jens Steube Golem.de. "In seinen PIX-Firewalls wird ein ähnliches Verfahren - MD5 mit anschließender BASE64-Codierung - eingesetzt." Dasselbe Problem tauchte also bereits früher in Cisco-Produkten auf - und das ist schon seit über zehn Jahren bekannt.

Offenbar war das neue "Type 4"-Verfahren in dieser Form so nicht geplant. Cisco hatte nach eigenen Angaben ursprünglich vor, hierfür das standardisierte Verfahren PBKDF2 einzusetzen, welches 1000 Iterationen von SHA-256 und ein 80-Bit-Salt vorsieht. Versehentlich wurde ein falscher Algorithmus implementiert, der nur eine einzige Iteration von SHA-256 ohne Salt durchführt.

Verteilung auf unbekannte Geräte

Welche Geräte von dem Problem betroffen sind, erwähnt Cisco in seinem Advisory nicht. Nutzer von Produkten, die IOS oder IOS XE in der Version 15 einsetzen, wird empfohlen, selbst zu überprüfen, ob ihre Geräte das "Type 4"-Verfahren einsetzen, und gespeicherte Passwörter durch das ältere "Type 5"-Verfahren zu ersetzen. "Type 5" nutzt mehrere Iterationen des MD5-Algorithmus. Der Nutzer erhält dann eine Warnung, dass das MD5-Verfahren veraltet ist und nicht mehr eingesetzt werden sollte. Allerdings: Ein mehrfach iteriertes MD5-Verfahren ist immer noch sicherer als die einmalige Nutzung von SHA-256.

Die Hashcat-Entwickler wollen im Laufe dieser Woche eine neue Version ihres Tools herausbringen, welches dann Angriffe auf das neue Cisco-Verfahren unterstützt. Hashcat gibt es in zwei Versionen: Eine nutzt den normalen Systemprozessor zur schnellen Berechnung großer Mengen an Passwort-Hashes, eine Version nutzt die Geschwindigkeit moderner Grafikkarten und führt die Berechnung auf der GPU aus.