2018/03/09

Cisco usava password fixa num dos seus programas de gestão


Hoje em dia não é necessário ser especialista em informática para ficar com a ideia de que tudo à nossa volta é uma autêntica manta de retalhos com segurança duvidosa. E nada o demonstra melhor que mais uma vulnerabilidade crítica da Cisco a propósito de uma password "hardcoded" num dos seus programas de gestão.

Qualquer pessoa normal poderá ficar chocada com a quantidade interminável de actualizações de segurança que vão chegando aos seus computadores, smartphones e apps, semana após semana, mês após mês e, mesmo ao fim de vários anos, sem que nunca se chegue a um ponto em que se esteja "seguro". São também muitos os casos de falhas flagrantes de segurança que se vão descobrindo regularmente, de empresas com bases de dados acessíveis a todo o mundo, e outras coisas que tais... Algumas vezes, podemos dar um desconto por serem pessoas ou empresas que não tinham conhecimentos técnicos para fazer melhor (embora devessem ter tido mais cuidado), outras vezes nem por isso, como é este caso da Cisco.

A Cisco é uma empresa de referência no sector, responsável pelo equipamento que sustenta grande parte da infraestrutura da "internet". É uma empresa que está bem informada quanto à importância da segurança, e por isso mesmo se coloca a questão: como é que se pode admitir que uma empresa destas cometa um erro tão básico quanto usar uma password hardcoded num dos seus softwares de gestão, que permitia a qualquer pessoa que descobrisse essa password entrar em qualquer uma das máquinas onde esse software estivesse instalado?

É a prova de que ninguém está imune a erros mas, mais assustador, é pensar que: se uma empresa como a Cisco comete erros tão básicos quanto este neste software... quem nos pode garantir que outros erros idênticos (ou ainda piores) não existam em muitos dos seus outros produtos? Quem sabe... talvez ainda se venha a descobrir que esta password fixa usada neste programa é afinal usada em muitos outros, ao estilo dos utilizadores que usam a mesma password para se registarem em todos os sites... ;P

5 comentários:

  1. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar
  2. Você percebe que isso foi encontrado e resolvido há quase um ano.

    ResponderEliminar
    Respostas
    1. Cisco Prime Collaboration Provisioning Hard-Coded Password Vulnerability: Critical
      Advisory ID: cisco-sa-20180307-cpcp
      First Published: 2018 March 7 16:00 GMT

      Eliminar
    2. Notice it was reported against 11.6 (which is past end of sale and last shipment date) and reported fixed in 12.1. 12.1 was released 11 months ago. Customers have had the ability to upgrade to a fixed version for 11 months and cannot buy a version of PCP with this problem.

      Eliminar
    3. Sim, mas só foi revelado agora... E ter sido há 1 ano, ou 2, ou 10, não os iliba de ser uma falha "inadmissível".

      Eliminar