Hintertür in Cisco, Linksys und Netgear Routern

chap

small gift, big smile

Registered: Jul 2008
Location: aut.graz
Posts: 2061

20.01.2014 - 23:15

Wie gesagt, ich hab alle Tests ausgeführt gehabt. Deshalb hab ich mich ja gewundert

master_burn

Editor
Loading . . 40% . . . 50%

Registered: Jul 2001
Location: near Quasi
Posts: 2472

21.01.2014 - 00:04

hm also ich hab einen wrvs4400n - der ist explizit aufgelistet dass er die backdoor habe soll - bei mir (kabsi) auch alles grün .. hmm

Cisco soll jedenfalls noch im Jänner eine aktualisierte FW rausbringen die die Lücke schließt - werden dann auf jeden fall updaten, vor allem nehm ich an dass diese neue FW dann von vielen leuten genau unter die Lupe genommen wird - da kann ich mir dann sicher sein dass nix heimfunkt

that

Hoffnungsloser Optimist

Registered: Mar 2000
Location: MeidLing
Posts: 11340

21.01.2014 - 00:12

Nachdem die Sicherheitslücke offenbar jahrelang von den QA-Abteilungen der Hersteller unentdeckt blieb, ist es glaube ich eine gute Idee, die Produkte der betroffenen Firmen für die nächsten paar Jahre zu meiden.

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4967

21.01.2014 - 08:13

Nachdem die Sicherheitslücke nur Spielzeugprodukte betrifft seh ich das weniger so.

Eine ASA, ein WLC, ein Aironet, ein Catalyst usw. welche echte Cisco HW sind (Linksys/Linksys by Cisco usw sind ja keine echten Cisco's) haben ja solche Probleme nicht.

Luki

bierernste Islandkritik

Registered: Nov 2003
Location: gradec
Posts: 2984

21.01.2014 - 08:26

Zitat von DAO
Nachdem die Sicherheitslücke nur Spielzeugprodukte betrifft seh ich das weniger so.

Eine ASA, ein WLC, ein Aironet, ein Catalyst usw. welche echte Cisco HW sind (Linksys/Linksys by Cisco usw sind ja keine echten Cisco's) haben ja solche Probleme nicht.

Mit PIX & ASA bist dafuer hier dabei.

http://cryptome.org/2014/01/nsa-codenames.htm

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19715

21.01.2014 - 08:41

Gibt sicher bei der Masse an Geräten auch jede Menge unterschiedlicher Firmwares, je nach Annex A/B, PPPoA/PPPoE, DECT, ...

Da muss man halt wirklich spezifizieren welche Firmware (Version und Bezeichnung) genau betroffen ist. Wie man sieht dürfte es eh nicht auf alle zutreffen.

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4967

21.01.2014 - 23:18

Zitat von __Luki__
Mit PIX & ASA bist dafuer hier dabei. http://cryptome.org/2014/01/nsa-codenames.htm

bis dato:
wurde nur ein nsa doc veröffentlicht.
hat niemand ein betroffenes gerät gefunden.
wurde weder explizit eine dezidierte hw version / eine ios release genannt

Es steht lediglich:

Code:

modifies the Cisco firewall's operating system (OS) at boot time and  JETPLOW is remotely upgradable and is also remotely installable provided BANANAGLEE is already on the firewall of interest, My guess is that Cisco doesn't know about it. It is installed on targetted ASAs, not all ASAs. It most likely uses an exploit to get the software installed.

pix -> steinzeit, asa 5510/5540/5550 end of sale ~ 09/2013, 5520 e-o-s 03/2013, die einzig noch "lebende" ist die kleinste 5505er serie -> hw version? ios version?

das hintertürchen bei den spielzeugen wurde nachgewiesen.

solange nicht wirklich bewiesen ist das aktuelle "nicht spielzeug hw" betroffen ist, wird sich an meiner meinung auch nix ändern.

die frage ist sowieso -> wird jeder bei seinen kunden (oder seinen dienstgeber) alles ersetzen auf verdacht? und selbst wenn es doch bewiesen ist irgendwann, wird dann das zeug ersetzt?

HowlingWolf

...

Registered: Jul 2001
Location: 2340
Posts: 1316

22.01.2014 - 14:49

Ja und die 5505 lebt auch nur deswegen noch, weil sie eine Nische abdeckt in die sonst kein Cisco Produkt mehr fallen würde...

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4967

23.01.2014 - 09:44

so ises

ist nur eine frage der zeit bis die 5505er endlich ersetzt wird.
auf deren ablöse warte ich schon lange.

gerade div. kleine standorte finden mit dem ding mehr als ausreichend funktionen vor und können die ressourcen sowieso meist nicht ausreizen.

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

23.01.2014 - 22:45

Draytek Vigor 2920n
Firmware: 3.6.6
Scheint ok zu sein.

master_burn

Editor
Loading . . 40% . . . 50%

Registered: Jul 2001
Location: near Quasi
Posts: 2472

03.02.2014 - 12:33

Hintertür wurde von Cisco für meinen WRVS4400N gefixt - gut so

Firmware:
http://software.cisco.com/download/...;reltype=latest
Release Notes:
http://www.cisco.com/en/US/docs/rou...lease_Notes.pdf

erstaunlich was da noch so alles an fixes drin is :eek:

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

20.04.2014 - 20:26

tja, vonwegen gefixt.
'versehentlich' wieder eingebaut....

http://thehackernews.com/2014/04/ro...-added-tcp.html

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6477

23.04.2014 - 13:58

Bezüglich Cisco "nicht Spielzeug HW" habe ich ein Paper gefunden, welches den Titel trägt
Killing the Myth of Cisco IOS Diversity:
http://ids.cs.columbia.edu/sites/de...files/paper.pdf

Vom gleichen Autor findet man folgendes:
http://www.hacktory.cs.columbia.edu/ios-rootkit/

Ich würde Cisco Backdoors nicht generell als Mythos abtun, 300.000+ IOS Firmwares eindeutig zu fingerprinten und den Shellcode entsprechend anzupassen ist zwar ein riesiger Aufwand, aber ich halte es für vorstellbar, dass es Leute gibt, die das bereits getan haben.

chap small gift, big smile Registered: Jul 2008 Location: aut.graz Posts: 2061	20.01.2014 - 23:15 Wie gesagt, ich hab alle Tests ausgeführt gehabt. Deshalb hab ich mich ja gewundert
master_burn Editor Loading . . 40% . . . 50% Registered: Jul 2001 Location: near Quasi Posts: 2472	21.01.2014 - 00:04 hm also ich hab einen wrvs4400n - der ist explizit aufgelistet dass er die backdoor habe soll - bei mir (kabsi) auch alles grün .. hmm Cisco soll jedenfalls noch im Jänner eine aktualisierte FW rausbringen die die Lücke schließt - werden dann auf jeden fall updaten, vor allem nehm ich an dass diese neue FW dann von vielen leuten genau unter die Lupe genommen wird - da kann ich mir dann sicher sein dass nix heimfunkt
that Hoffnungsloser Optimist Registered: Mar 2000 Location: MeidLing Posts: 11340	21.01.2014 - 00:12 Nachdem die Sicherheitslücke offenbar jahrelang von den QA-Abteilungen der Hersteller unentdeckt blieb, ist es glaube ich eine gute Idee, die Produkte der betroffenen Firmen für die nächsten paar Jahre zu meiden.
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4967	21.01.2014 - 08:13 Nachdem die Sicherheitslücke nur Spielzeugprodukte betrifft seh ich das weniger so. Eine ASA, ein WLC, ein Aironet, ein Catalyst usw. welche echte Cisco HW sind (Linksys/Linksys by Cisco usw sind ja keine echten Cisco's) haben ja solche Probleme nicht.
__Luki__ bierernste Islandkritik Registered: Nov 2003 Location: gradec Posts: 2984	21.01.2014 - 08:26 Zitat von DAO Nachdem die Sicherheitslücke nur Spielzeugprodukte betrifft seh ich das weniger so. Eine ASA, ein WLC, ein Aironet, ein Catalyst usw. welche echte Cisco HW sind (Linksys/Linksys by Cisco usw sind ja keine echten Cisco's) haben ja solche Probleme nicht. Mit PIX & ASA bist dafuer hier dabei. http://cryptome.org/2014/01/nsa-codenames.htm
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19715	21.01.2014 - 08:41 Gibt sicher bei der Masse an Geräten auch jede Menge unterschiedlicher Firmwares, je nach Annex A/B, PPPoA/PPPoE, DECT, ... Da muss man halt wirklich spezifizieren welche Firmware (Version und Bezeichnung) genau betroffen ist. Wie man sieht dürfte es eh nicht auf alle zutreffen.
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4967	21.01.2014 - 23:18 Zitat von __Luki__ Mit PIX & ASA bist dafuer hier dabei. http://cryptome.org/2014/01/nsa-codenames.htm bis dato: wurde nur ein nsa doc veröffentlicht. hat niemand ein betroffenes gerät gefunden. wurde weder explizit eine dezidierte hw version / eine ios release genannt Es steht lediglich: Code: `modifies the Cisco firewall's operating system (OS) at boot time and JETPLOW is remotely upgradable and is also remotely installable provided BANANAGLEE is already on the firewall of interest, My guess is that Cisco doesn't know about it. It is installed on targetted ASAs, not all ASAs. It most likely uses an exploit to get the software installed.` pix -> steinzeit, asa 5510/5540/5550 end of sale ~ 09/2013, 5520 e-o-s 03/2013, die einzig noch "lebende" ist die kleinste 5505er serie -> hw version? ios version? das hintertürchen bei den spielzeugen wurde nachgewiesen. solange nicht wirklich bewiesen ist das aktuelle "nicht spielzeug hw" betroffen ist, wird sich an meiner meinung auch nix ändern. die frage ist sowieso -> wird jeder bei seinen kunden (oder seinen dienstgeber) alles ersetzen auf verdacht? und selbst wenn es doch bewiesen ist irgendwann, wird dann das zeug ersetzt?
HowlingWolf ... Registered: Jul 2001 Location: 2340 Posts: 1316	22.01.2014 - 14:49 Ja und die 5505 lebt auch nur deswegen noch, weil sie eine Nische abdeckt in die sonst kein Cisco Produkt mehr fallen würde...
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4967	23.01.2014 - 09:44 so ises ist nur eine frage der zeit bis die 5505er endlich ersetzt wird. auf deren ablöse warte ich schon lange. gerade div. kleine standorte finden mit dem ding mehr als ausreichend funktionen vor und können die ressourcen sowieso meist nicht ausreizen.
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	23.01.2014 - 22:45 Draytek Vigor 2920n Firmware: 3.6.6 Scheint ok zu sein.
master_burn Editor Loading . . 40% . . . 50% Registered: Jul 2001 Location: near Quasi Posts: 2472	03.02.2014 - 12:33 Hintertür wurde von Cisco für meinen WRVS4400N gefixt - gut so Firmware: http://software.cisco.com/download/...;reltype=latest Release Notes: http://www.cisco.com/en/US/docs/rou...lease_Notes.pdf erstaunlich was da noch so alles an fixes drin is
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	20.04.2014 - 20:26 tja, vonwegen gefixt. 'versehentlich' wieder eingebaut.... http://thehackernews.com/2014/04/ro...-added-tcp.html
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6477	23.04.2014 - 13:58 Bezüglich Cisco "nicht Spielzeug HW" habe ich ein Paper gefunden, welches den Titel trägt Killing the Myth of Cisco IOS Diversity: http://ids.cs.columbia.edu/sites/de...files/paper.pdf Vom gleichen Autor findet man folgendes: http://www.hacktory.cs.columbia.edu/ios-rootkit/ Ich würde Cisco Backdoors nicht generell als Mythos abtun, 300.000+ IOS Firmwares eindeutig zu fingerprinten und den Shellcode entsprechend anzupassen ist zwar ein riesiger Aufwand, aber ich halte es für vorstellbar, dass es Leute gibt, die das bereits getan haben.

Hintertür in Cisco, Linksys und Netgear Routern

Forum Index > Hardware > Peripherie > Netzwerktechnik

chap

master_burn

that

DAO

__Luki__

daisho

DAO

HowlingWolf

DAO

Valera

master_burn

Bogus

mr.nice.

Luki