Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-104

[Cisco/IOS] Undokumentierte SNMP Community im Cisco IOS - INTERIM
(2001-03-01 21:10:18+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/win-sec-ssc/2001/02/msg00037.html

Im Cisco IOS existiert eine undokumentierte SNMP Community, die nicht autorisierten Zugriff auf Objekte der MIB-II System Gruppe erlaubt.

Betroffene Systeme
ATM-fähige Cisco Router und Switches (mit ILMI Support) unter IOS 11.0.2 bis 12.0.X sind betroffen, dazu gehören:

  • Cisco 1400 und 1700 series
  • Cisco 2600 (die c2600-c-mz, c2600-d-mz, c2600-i-mz, c2600-io3-mz und c2600-ix-mz images sind nicht verwundbar)
  • Catalyst 2900 ATM, 2900XL und 2948g series
  • Cisco 3620 (die c3620-d-mz, c3620-i-mz, c3620-io3-mz und c3620-ix-mz images sind nicht verwundbar)
  • Cisco 3640 (die c3640-d-mz, c3640-i-mz, c3640-io3-mz und c3640-ix-mz images sind nicht verwundbar)
  • Cisco 3660 (die c3660-d-mz, c3660-i-mz und c3660-ix-mz sind nicht verwundbar)
  • Cisco MC3810 (die mc3810-i-mz, mc3810-is-mz, mc3810-is56i-mz und mc3810-js-mz images sind nicht verwundbar)
  • Catalyst 4232, 4840g, 5000 RSFC series switches
  • Cisco 4500, 4700, and 5800 DSC series
  • Cisco 6200, 6400 NRP, and 6400 NSP series
  • Catalyst MSM (c6msm), 6000 Hybrid Mode (c6msfc) und 6000 Native Mode (c6sup)
  • Cisco RSM, 7000, 7010, 7100, 7200, ubr7200 und 7500 series
  • Catalyst 8510CSR, 8510MSR, 8540CSR und 8540MSR series
  • Cisco 10000 ESR und 12000 GSR series
  • LS1010 und Cisco 6260-NI2
  • DistributedDirector (die igs-w3 images sind nicht verwundbar)
  • eventuell weitere

Typ der Verwundbarkeit
design flaw: unauthorized SNMP object disclosure

Beschreibung
Im Cisco IOS existiert eine undokumentierte SNMP Community mit Namen ILMI. Diese Community erlaubt Lese- und Schreibzugriff auf die folgenden Objekte der MIB-II System Gruppe und der LAN-EMULATION-CLIENT und PNNI MIBs:

sysDescr        sysObjectID     sysUpTime
sysContact      sysName         sysLocation
sysServices     sysORLastChange sysORTable
sysOREntry      sysORIndex      sysORID
sysORDescr      sysORUpTime
Damit ist der Betrieb der Komponenten zwar nicht grundsätzlich gefährdet, eine Manipulation der Informationen kann aber möglicherweise zur Verwirrung im Netzwerkmanagement führen. Außerdem können die Informationen von Angreifern im Rahmen einer Informationssammlung für Angriffe verwendet werden.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Im Augenblick sind noch nicht für alle betroffenen Versionen Patches verfügbar, die dieses Problem beheben. Details darüber, für welche Versionen bereits Patches verfügbar sind, entnehmen Sie bitte dem Cisco Advisory (siehe auch unten).

Workaround
Der Zugriff auf diese Community kann mit den folgenden Configurationsanweisungen unterbunden werden:

                                                                   
        snmp-server community IMLI RO 99                  
        snmp-server community IMLI RW 99  
        access-list 99 deny any log
Alternativ kann man auch den SNMP-Agenten ganz abschalten (no snmp-server). Die ILMI Community oder den View *ilmi zu löschen hilft zwar, wird aber nicht ins NVRAM übernommen, d. h. die Änderung bleibt nicht über Reboots und dergleichen hinweg erhalten.

Weitere Information zu diesem Thema

Cisco betrachtet dieses Advisory als vorläufig (interim) da die Schwachstelle z. Teil noch untersucht wird. Aus diesem Grund sind die darin enthaltenen Informationen noch nicht als endgültig anzusehen und können fehlerhaft sein.

(Klaus Möller/ DFN-CERT) (og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.