Het op afstand zonder authenticatie herinstalleren van een OS is wel een bug. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Wanneer een feature wel degelijk een kwetsbaarheid is: als het een ramp blijkt te zijn. Netwerkreus Cisco heeft afgelopen maand de klassieke ict-leveranciersuitspraak geuit: ‘Het is geen bug, het is een feature’. Alleen is de Smart Install-functie (SMI) waar het hier om gaat eigenlijk helemaal niet zo slim. Het SMI-protocol laat beheerder switches automatisch configureren, wat handig is voor installatie van die netwerkapparatuur in kantoren en vestigingen elders.
Het blijkt echter dat kwaadwillenden met een kleine verandering aan een configuratiebestand macht kunnen krijgen over het hele besturingssysteem. Naast het uitvoeren van commando’s met vergaande rechten valt zelfs het hele OS te herinstalleren. Dit alles kan zonder dat zo’n ‘beheerder’ zich authenticeert op het kwetsbare netwerkapparaat. Uiteindelijk heeft Cisco wel een tool uitgebracht om deze ‘legacy feature’ te blokkeren. Ondanks de politieke bewoordingen van de leverancier gaat het wel degelijk om een kwetsbaarheid. Wat vind jij?
Reacties
Cisco, je houding is beroerd en aangezien ik niet verwacht dat Cisco zich zal beteren, houd ik het hierbij.