Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-104

[Cisco/IOS] Undokumentierte SNMP Community im Cisco IOS - INTERIM
(2001-03-01 21:10:18+00)

Quelle: http://cert.uni-stuttgart.de/archive/win-sec-ssc/2001/02/msg00037.html

Im Cisco IOS existiert eine undokumentierte SNMP Community, die nicht autorisierten Zugriff auf Objekte der MIB-II System Gruppe erlaubt.

Betroffene Systeme
ATM-fähige Cisco Router und Switches (mit ILMI Support) unter IOS 11.0.2 bis 12.0.X sind betroffen, dazu gehören:

Typ der Verwundbarkeit
design flaw: unauthorized SNMP object disclosure

Beschreibung
Im Cisco IOS existiert eine undokumentierte SNMP Community mit Namen ILMI. Diese Community erlaubt Lese- und Schreibzugriff auf die folgenden Objekte der MIB-II System Gruppe und der LAN-EMULATION-CLIENT und PNNI MIBs:

sysDescr        sysObjectID     sysUpTime
sysContact      sysName         sysLocation
sysServices     sysORLastChange sysORTable
sysOREntry      sysORIndex      sysORID
sysORDescr      sysORUpTime
Damit ist der Betrieb der Komponenten zwar nicht grundsätzlich gefährdet, eine Manipulation der Informationen kann aber möglicherweise zur Verwirrung im Netzwerkmanagement führen. Außerdem können die Informationen von Angreifern im Rahmen einer Informationssammlung für Angriffe verwendet werden.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Im Augenblick sind noch nicht für alle betroffenen Versionen Patches verfügbar, die dieses Problem beheben. Details darüber, für welche Versionen bereits Patches verfügbar sind, entnehmen Sie bitte dem Cisco Advisory (siehe auch unten).

Workaround
Der Zugriff auf diese Community kann mit den folgenden Configurationsanweisungen unterbunden werden:

                                                                   
        snmp-server community IMLI RO 99                  
        snmp-server community IMLI RW 99  
        access-list 99 deny any log
Alternativ kann man auch den SNMP-Agenten ganz abschalten (no snmp-server). Die ILMI Community oder den View *ilmi zu löschen hilft zwar, wird aber nicht ins NVRAM übernommen, d. h. die Änderung bleibt nicht über Reboots und dergleichen hinweg erhalten.

Weitere Information zu diesem Thema

Cisco betrachtet dieses Advisory als vorläufig (interim) da die Schwachstelle z. Teil noch untersucht wird. Aus diesem Grund sind die darin enthaltenen Informationen noch nicht als endgültig anzusehen und können fehlerhaft sein.

(Klaus Möller/ DFN-CERT) (og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=104