Avisos 19 de November, 2012

Emmagatzematge insegur de contrasenyes als productes Huawei

S'ha publicat informació sobre una vulnerabilitat que afecta diversos dispositius del fabricant d'equipament de xarxa Huawei. La explotació d'aquesta vulnerabilitat permetria a un atacant amb accés al dispositiu, obtenir les contrasenyes emmagatzemades, tot i estar xifrades.

 

Impacte
 
Fuita d'informació (contrasenyes).
 
Productes afectats
 
Huawei Quidway series.
Huawei CX600 versions V600R001 i V600R003C00SPC900.
Huawei Me60 MultiService Control Gateway versió V600R002C07.
Huawei AR Multi-service routers 19/29/49 R2207 i versions anteriors.
 
Solució
 
El fabricant ha publicat algunes mesures de mitigació temporals pels diverses productes:
Restringir l'accés als encaminadors des IPs externes, limitant les connexions a IPs internes específiques per a l'administració.
Gestionar estrictament els privilegis dels comptes.
Canviar les contrasenyes regularment.
A més, s'han publicat actualitzacions que modifiquen el programari dels dispositius per utilitzar un algorisme criptogràfic més robust (AES256 en lloc de DES). Tanmateix, també seria un algoritme reversible a on la seguretat depèn d'una clau secreta. No s'ha especificat si la clau utilitzada es pot modificar per a què diferent a cada dispositiu.
 
Detall
 
La vulnerabilitat consisteix en una fallada de disseny del mecanisme de protecció de les contrasenyes d'usuari emmagatzemades en els dispositius. En lloc d'utilitzar un mecanisme de hash unidireccional, s'utilitza un algoritme de xifrat simètric poc robust (DES), amb una contrasenya per defecte coneguda ('\ x01 \ x02 \ X03 \ x04 \ x05 \ x06 \ x07 \ x08') .
 
A més, no s'utilitza cap sistema de "sal" aleatòria que dificulti l'obtenció de les contrasenyes mitjançant criptoanàlisi.
 
Per explotar la vulnerabilitat, un atacant necessitaria tenir accés als fitxers de contrasenyes xifrades emmagatzemats al dispositiu, però un cop complert això, l'obtenció de les contrasenyes seria immediata.
 
Els investigadors de seguretat originals han publicat el codi d'una prova de concepte que desxifra les contrasenyes.
 
Referències
 
Avis de seguretat Huawei-SA-20120827-01-CX600
http://support.huawei.com/enterprise/ReadLatestNewsAction.action?contentId=NEWS1000001141
Avís de seguretat dels investigadors originals
http://seclists.org/bugtraq/2012/Nov/45
Publicat a: Avisos