Das darf keinem Hersteller passieren

An diesem Punkt hat die anfängliche Euphorie über das hübsch aussehende Gerät nachgelassen, denn es handelt sich hierbei um Grundlagen, die selbst dem kleinsten Hersteller von Netzwerkendgeräten nicht passieren dürfen. Und es geht um Cisco, einen der Marktführer in Sachen Netzwerktechnik.

Stellenmarkt
  1. Gruppenleiter für Embedded Softwareentwicklung (m/w/d)
    Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
  2. Senior Product Owner KI & Machine Learning (w/m/d)
    Dataport, verschiedene Standorte
Detailsuche

Jetzt vermuten einige vielleicht Backdoors. Aber das sehe ich anders, denn es sieht stark danach aus, dass die GPON-Sparte bedient werden sollte und ein Team beauftragt wurde, das etwas von Design versteht - aber nicht über das Wissen gängiger Angriffsvektoren verfügt.

Was ist zu tun, wenn man Sicherheitslücken wie diese findet? Da gibt es verschiedene Ansätze, aber natürlich habe ich kein Interesse daran, gefundene Lücken selbst auszunutzen, zu verkaufen oder sie sofort zu veröffentlichen. Betrachte ich es aus der Sicht unseres kleinen ISP, sind es potenzielle Endgeräte, die wir einsetzen wollen, die aber nicht so funktionieren, wie wir es erwarten.

Ich wähle die Responsible Disclosure

Also entscheide ich mich für ein Responsible Disclosure, das Veröffentlichen der Lücke, nachdem ausreichend Zeit gegeben wurde, die Lücke zu schließen. Dazu schreibe ich dem Cisco Product Security Incident Team (PSIRT), der Stelle bei Cisco, der man Sicherheitslücken melden kann. Das Team hat einen komplett durchdefinierten Prozess, wie es mit Meldungen umgeht - das hatte ich bis dato noch nicht in dieser Qualität erlebt.

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
Weitere IT-Trainings

Ich erstelle einen kurzen Bug-Report mit dem Hinweis auf die Responsible Disclosure und schicke ihn an psirt@cisco.com mit dem Beisatz, dass ich gerne bereit sei, eventuell kommende Updates vorab zu testen. Kurze Zeit später bekomme ich eine freundliche Antwort eines Incident Managers mit der Information, dass sich die Entwickler den Report ansehen würden. Sechs Tage später meldet sich der Manager, es gebe eine Version, die ich testen könne. Ich lade die neue Firmware runter, teste sie und siehe da: Lücken geschlossen.

Ich möchte an dieser Stelle die Professionalität hervorheben, die Cisco im Umgang mit gemeldeten Sicherheitslücken an den Tag legt. Es ist bei weitem nicht selbstverständlich, dass man in dieser Art und Weise Fehler annimmt und behebt. Vor kurzem war sogar von einer Hausdurchsuchung bei Leuten, die Sicherheitslücken melden, zu lesen. Darüber sollte sich jeder im Klaren sein, bevor er oder sie etwas meldet.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Natürlich macht es einen Unterschied, ob man sich an einen Konzern wendet, der eine eigens dafür geschaffene Abteilung mit entsprechenden Prozessen hat, oder an die kleine Softwarefirma von nebenan, die ihre Reputation schwinden fürchtet und aus Verzweiflung oder Trotz einen übermotivierten Anwalt einschaltet.

Wichtig ist in jedem Fall, sich klar auszudrücken und professionell zu bleiben. Denn am anderen Ende sitzen auch nur Menschen, denen man zwar den Tag vermiest, die aber Hinweise meist dankend annehmen.

Anschließend teilte Cisco die Meldung in 3 CVEs auf und veröffentlichte ein Advisory mit Links zu der gepatchten Firmware:

  • CVE-2021-34795: Debug-Account user:user
  • CVE-2021-40113: Command-Injection über die Ping-Funktion
  • CVE-2021-40112: Telnet aktivieren, wenn man sich im Netzwerk befindet

Was habe ich davon?

Ich wurde im Security Advisory erwähnt, aber da Cisco kein Bug-Bounty-Programm führt, gibt es keine Aufwandsentschädigung. Das ist natürlich ein Punkt, an dem man Anreize schaffen könnte, um Produkte sicherer zu machen und Zero-Day-Attacken den Wind aus den Segeln zu nehmen.

In diesem konkreten Fall habe ich im Interesse meiner Firma gehandelt. Eine Aufwandsentschädigung ist nebensächlich, da wir Endgeräte einsetzen wollen, die unseren Ansprüchen genügen, und dem sind wir damit nähergekommen. Natürlich werden folgende Updates ähnlich kritisch betrachtet, aber wenn der Weg zu einem Fix für eventuelle Probleme so kurz bleibt, ist das akzeptabel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wie ein Angriffsszenario entsteht
  1.  
  2. 1
  3. 2
  4. 3


Jeson 02. Feb 2022

Responsible Disclosure bedeutet ja vor allem, dass man den Hersteller vorab informiert...

KlugKacka 01. Feb 2022

LOL. "Auch große Hersteller wie Cisco sind davor nicht gefeit und müssen sich...

Winetou_Koslowski 25. Jan 2022

Danke!

AllDayPiano 25. Jan 2022

Schlamperei halt.



Aktuell auf der Startseite von Golem.de
Liberty Lifter
US-Militär lässt ein eigenes Ekranoplan entwickeln

In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
Artikel
  1. Abo: Spielebranche streitet über Game Pass
    Abo
    Spielebranche streitet über Game Pass

    Nach Kritik von Sony gibt es mehr Stimmen aus der Spielebranche, die Game Pass problematisch finden - aber auch klares Lob für das Abo.

  2. Microsoft: Der Android-App-Store für Windows 11 kommt nach Deutschland
    Microsoft
    Der Android-App-Store für Windows 11 kommt nach Deutschland

    Build 2022 Der Microsoft Store soll noch attraktiver werden. So können Kunden ihre Apps künftig ohne lange Wartezeiten direkt veröffentlichen.

  3. Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
    "Macht mich einfach wahnsinnig"
    Kelber beklagt digitale Inkompetenz von VW

    Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Controller (alle Farben) günstig wie nie: 49,99€ • Samsung SSD 1TB 79€ • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34" UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Samsung schenkt 19% MwSt.[Werbung]
    •  /