Het probleem treedt op in de Cisco SPA 525g, een telefoontoestel dat geschikt is om via netwerken te bellen. De toestellen kunnen worden beheerd via commando's die verpakt worden in XML. Daardoor zijn ze makkelijk op te nemen in grotere omgevingen, maar juist daar zit ook de zwakheid in: het beheer is defacto onbeveiligd.

Geen wachtwoord

Voor beheer bestaat een standaard username 'sdkapps' met hetzelfde standaard wachtwoord. Alleen blijkt dat het aanpassen van gebruikersnaam of wachtwoord niet mogelijk is. Dat ontdekte beveiligingsonderzoeker Jacco van Tuijl, die al snel ontdekte dat er meer problemen waren.

Zo ontdekte hij ook dat eigenlijk ieder willekeurige gebruikersnaam en wachtwoord leidde tot toegang tot het toestel. “En zelfs zonder gebruikersnaam en wachtwoord kon het toestel op afstand worden bestuurd", vertelt hij Webwereld.

Geen contract

Van Tuijl probeerde het probleem bij Cisco aan te kaarten in Augustus, maar mocht geen beveiligingslekken melden omdat hij niet beschikte over een duur servicecontract. Uiteindelijk heeft hij via chatfora een ontwikkelaar gevonden, maar hoorde nooit meer iets terug.

Tegenover Webwereld stelt Cisco nu dat het niet nodig is dat beveiligingsonderzoekers een contract sluiten om lekken te melden en heeft daar een procedure voor. Het bedrijf zegt het vervelend te vinden dat communicatie slecht is gelopen.

Bij verificatie een half jaar later kreeg hij te horen dat het probleem was verholpen. Er was geen contact meer opgenomen, omdat iemand anders hem voor zou zijn geweest bij het melden. Waar of niet: bij controle van de laatste software blijkt het probleem niet verholpen en zijn de telefoons nog steeds over te nemen.

SPA remote

Om duidelijk te krijgen wat het probleem nu is schreef Van Tuijl een applicatie voor Windows. Daarmee kunnen gebruikers alle toetsen op het toestel bedienen, gaan wardiallen (de wereld over bellen) en de fabrieksinstellingen terug zetten.

Met de tool kunnen mensen zelf controleren of ze nog kwetsbaar zijn. Van Tuijl verwacht geen grootschalig misbruik, omdat de meeste telefoons niet rechtstreeks aan internet zijn gekoppeld. Meestal functioneren ze binnen een kantooromgeving.

In reactie zegt Cisco het probleem wel degelijk te hebben verholpen. Hoe en wat precies zegt het bedrijf niet, omdat de gegevens over het lek door een klant zijn gemeld. Het bedrijf wil de vertrouwelijkheid met de klant niet schenden.

Inmiddels heeft de betreffende klant een nieuwe versie van de software in bezit en is er een verbeterde versie in Beta. De onderneming verwacht in maart alle klanten te voorzien van een update met bescherming tegen het lek.