Les développeurs du scanner IoT Inspector effectuent périodiquement des vérifications de routine du firmware de différents fabricants. Parfois, ils trouvent des vulnérabilités dans les appareils de l'Internet des objets. Mais la
dernière découverte est particulièrement surprenante. Dans le firmware du routeur Cisco SG250, le scanner a trouvé
plusieurs certificats et la clé secrète correspondante d'un employé de Futurewei Technologies, une filiale américaine de Huawei Technologies, nommée Harry Wu avec l'adresse e-mail
gary.wu1@huawei.com .
Mais comment sont-ils entrés dans le firmware du routeur Cisco?
L'emplacement des fichiers en question était également étrange (/root/.ssh/). Ce répertoire est généralement destiné aux clés SSH, pas aux certificats.
Les développeurs ont vérifié manuellement les résultats du scanner automatique. Ils étaient fiables, une analyse manuelle a confirmé les résultats automatisés.
Compte tenu du débat politique autour de Huawei, les employés ne voulaient pas spéculer sur ce sujet et ont immédiatement transmis des informations à Cisco. Là, le service de sécurité a confirmé les résultats et a commencé une enquête interne. Il ne leur a fallu que quelques jours pour découvrir les raisons et partager les détails.
Il s'est avéré que les certificats et la clé privée en question faisaient partie du package gratuit
OpenDaylight GitHub , qui est utilisé dans certains produits Cisco. Le problème a affecté tous les routeurs de la gamme Cisco 250/350 / 350X / 550X. Les développeurs ont utilisé les certificats pour tester la fonction
Cisco FindIT pour gérer de manière proactive le réseau de routeurs avec la découverte automatique de tous les périphériques du réseau, la configuration via une interface unique, etc. Les certificats étaient dans le firmware des produits en raison d'une simple surveillance.
Cisco a immédiatement publié le firmware sans ces certificats et a publié le 3 juillet
des recommandations de sécurité . De plus, Cisco a corrigé d'autres problèmes détectés par le scanner: hachages de mot de passe vides, dépendances inutiles et diverses vulnérabilités de dépendance.
Il n'y avait aucune menace à la sécurité ici. Il n'est pas question des mythiques "portes dérobées de Huawei". Selon Cisco, aucun vecteur d'attaque n'a été identifié car les certificats ne sont pas réellement utilisés dans les versions finales du firmware.
Mais encore, il y a deux problèmes.
Premièrement, les développeurs placent souvent, par commodité ou par inadvertance, des informations sensibles dans le code du programme, qui est ensuite disposé dans le domaine public. Par exemple, en mars 2019, des chercheurs de l'Université de Caroline du Nord ont scanné un GitHub et ont découvert que plus de 100000 référentiels contenaient des clés API, des jetons et des clés cryptographiques. De plus, des milliers de nouveaux «secrets» uniques arrivent chaque jour sur GitHub. Les statistiques générales sur les objets secrets trouvés montrent que le plus souvent les clés API Google tombent dans le domaine public. Les clés privées RSA et les identifiants Google OAuth sont également courants.
L'étude a montré qu'un attaquant, même avec des ressources minimales, pouvait compromettre de nombreux utilisateurs de GitHub et trouver de nombreuses clés secrètes. Pour lutter contre ce problème, GitHub a développé une fonction d'
analyse de jeton d'
analyse de jetons qui analyse les référentiels, recherche des jetons et avertit les fournisseurs de services de fuite d'informations.
Le deuxième problème est que les programmes connectent de plus en plus de projets sur le même GitHub que les dépendances externes de l'Open Source, sans les vérifier en conséquence. Il s'avère que les développeurs font aveuglément confiance au code de quelqu'un d'autre, que personne ne peut suivre. Le problème est décrit, par exemple, dans l'article de Russ Cox "Notre problème de toxicomanie", dont la
traduction est sur Habré.
