Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Sårbarhet, Cisco

Cisco IOS - Svaga lösenordshashar

Hashningen av Typ 4-lösenord i Cisco IOS och IOS XE är felaktigt implementerad.

Problem

Typ 4-lösenord i IOS implementerar standarden PBKDF2 och är tänkt att ersätta typ 5- och typ 7-lösenord eftersom denna metod i teorin är en säkrare lösning för att lagra lösenordshashar. Tyvärr är typ 4-implementationen felaktig på följande sätt:

  • Endast en iteration av SHA-256 görs.
  • Inget salt används.

Ovanstående sårbarheter underlättar en råstyrke-attack betydligt om en angripare kommer över de lagrade lösenordshasharna. Angriparen kan alltså snabbare knäcka lösenordshashar och få fram lösenorden i klartext.

Lösning

För närvarande finns ingen lösning på problemet. Förmodligen kommer Cisco släppa en ny lösenordstyp där PBKDF2 är rätt implementerad.

Under tiden kan typ 5 användas, men det går inte att generera typ 5-hashar på en maskin som har stöd för typ4-hashar. Detta beror på att typ 4 ersätter typ 5 eftersom denna metod på pappret var säkrare. Dock går det att generera typ 5-hashar utanför IOS-maskinen och kopiera in de, exempelvis med verktyget openssl.

Mer information

http://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20130318-type4
http://www.securitytracker.com/id/1028306