Cisco’nun aslında yeni Type 4 algoritması, saldırılara ve açıklara karşı daha güvenli olduğu umulurken, bu algoritmada açık bulundu. Cisco birkaç gün önce bu açığı duyurdu. Çözümünü de uzun detaylı anlattı. Cisco’nun 15.ci versiyonlu IOS işletim sistemindeki algoritma yanlış uygulanmış. Bunun yerine 80-bit salt değeri kullanılmış. Haricinde hiçbir şey kullanılmamış. Yine bunun yerine amaçlanan arasında SHA256 yoluyla 1000 iterasyon var, yalnızca biri kullanılmış. Bu nedenle eski Tye 5 yeni şifreleri saldırılara (brute force attacking) karşı daha fazla savunmasız kaldı.

Sorunlara eklemek için IOS sürümü yükseltilmiş cihazlar, Tye 4 şifre desteğiyle Type 5 parolalar oluşturma yeteneklerini kaybettiler ve Cisco geriye dönük uyumluluk sorunları ortaya çıkabileceği konusunda uyardı.

Bu hata sadece IOS üzerinde enable secret ... ve  username ... secret ... komutları üzerinde etkili. Tabi router üzerindeki bu komutlar büyük önem taşıdığı için hata düzeyi ciddileşiyor.

Diğer fonksiyonlarda şifre veya anahtar kullanmak istiyorsanız, yani OSPF, BGP, RIP ve IPSec gibi protokoller için Type 4 algoritmasını kullanmayın. Bu sizin için sakıncalı olacaktır.

Cisco, kullanıcıları Type 5 şifreleri ile Type 4 şifrelerini değiştirmenizi öneriyor. Ancak bu cihazın kendisi üzerinden yapılamaz, ancak uygun bir IOS sürümü ile başka bir cihazda şifre oluşturularak veya OpenSSL gibi araçlar kullanılarak yapılabilir.  

Gelecekte Cisco Type 4 şifrelerini kaldıracak ve uyarılar için Type 5’i silecek.

Şirket daha sonra planlarını değiştirerek, Type 4 için plananan 80-bit salt algoritmasıyla 1000 itersyonlu SHA-256’yı uygulamayı planlıyor. Yeni algoritma için bir tip tanımı henüz seçilmedi. Ayrıca müşterilerinin komutları girerken parola şifreleme tipini seçmek için izin vererek bir çıkış yolu sağlayacaktır.

Cisco'nun buradaki kusurları Philipp Schmidt ve Jens Steube tarafından Hascat Projesiyle bulundu.

Kaynak: Cisco