Wenn Entwickler in ihrem eigenen Produkten Libraries von Drittanbietern oder Open-Source-Libraries verwenden, sind sie sich potenzieller Sicherheitsprobleme möglicherweise nicht bewusst. Dass dies auch bekannten Herstellern passieren kann, haben die Sicherheitsexperten der Analyseplattform IoT Inspector im Rahmen einer Überprüfung von Firmware-Images verschiedener Hersteller nach eigenen Angaben jüngst sehr deutlich erfahren.

Ausgangspunkt war demnach ein Firmware-Image für einen Cisco SG250 Smart Switch aus dem Cisco-Download-Portal, das in den IoT Inspector hochgeladen wurde. Die Analyseergebnisse waren laut den Experten seltsam: Die Firmware enthielt einige Zertifikate und einen entsprechenden privaten Schlüssel. Der Speicherort der fraglichen Dateien (/root/.ssh/) ist normalerweise für SSH-Schlüssel vorgesehen, nicht für Zertifikate, so die Experten.

Die Zertifikate stammten von einem Mitarbeiter namens Gary von Futurewei Technologies, einer Tochtergesellschaft von Huawei Technologies in den USA. „Wir haben die Ergebnisse aus der IoT-Inspektor-Analyse zweimal überprüft. Sie waren eindeutig. Eine manuelle Analyse bestätigte die automatisierten Ergebnisse ebenfalls. Aber wie konnte ein Zertifikat eines Huawei-Mitarbeiters in ein Cisco-Firmware-Image gelangen?“, so die Aussagen von IoT Inspector.

Angesichts der anhaltenden politischen Kontroversen um Huawei, wollten die Experten nach eigenem Bekunden nicht weiter spekulieren und beschlossen, ihre Informationen an Cisco weiterzugeben. Cisco PSIRT (Product Security Incident Response Team) bestätigte den Erhalt umgehend und leitete eine interne Untersuchung ein, so die IoT-Inspector-Fachleute weiter. Über den Fortschritt der Ermittlungen wurde man auf dem Laufenden gehalten und es dauerte nur wenige Tage, bis Cisco die detaillierten Ergebnisse einer gründlichen Analyse teilte.

Wie sich herausstellte, stammten die fraglichen Zertifikate und privaten Schlüssel aus OpenDaylight Github, einem Open-Source-Paket, das in einigen Cisco-Produkten zum Einsatz kommt. Alle Switches der Cisco 250/350/350X/550X-Serie sind betroffen. Entwickler hatten die Zertifikate zum Testen der Cisco-FindIT-Funktion verwendet. Die Zertifikate landeten unbeabsichtigt in den finalen Firmware-Versionen verschiedener Produkte.

Laut Cisco konnten keine Angriffsvektoren gefunden werden, weil die Zertifikate von den ausgelieferten Firmware-Versionen nicht genutzt werden. Cisco habe dennoch eine aktualisierte Firmware-Version ohne diese Zertifikate gemeinsam mit einer umfangreichen Sicherheitsempfehlung veröffentlicht. Darüber hinaus habe Cisco auch auf andere von IoT Inspector entdeckte Probleme reagiert. Darunter sollen sich leere Passwort-Hashes, nicht benötigte Softwarepakete und mehrere Schwachstellen in TPS-Komponenten (Third Party Software) befunden haben.

IoT Inspector wurde ursprünglich als Inhouse-Tool für manuelles Pentesting von IoT-Geräten entwickelt. Im Laufe der Jahre entwickelte sich daraus eine Firmware-Analyseplattform, die laut IoT Inspector weltweit von Unternehmen, Infrastrukturanbietern, Herstellern, Beratungsunternehmen und Forschern verwendet wird. Weitere Informationen stehen unter www.iot-inspector.com/de/ zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.