Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1126

[Cisco/IOS] DoS-Schwachstelle in IOS - Angriffe erfolgen (Update)
(2003-07-17 08:51:42.633692+00) Druckversion

Quelle: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml

Eine Schwachstelle in IOS kann die Verarbeitung von Paketen verhindern und die Funktion des Routers erheblich beeinträchtigen. Seit dem 2003-07-18 ist ein Programm zum Durchführen von Angriffen (Exploit Code) öffentlich verfügbar.

Betroffene Systeme

  • Cisco IOS
Die meisten Versionen, die vor dem 2003-07-17 veröffentlicht wurden, scheinen betroffen zu sein. Bitte prüfen Sie die Tabelle im Cisco-Advisory.

Einfallstor
IPv4-Pakete, die an eine IP-Adresse des Routers gerichtet sind. Kritisch sind Pakete mit den IP-Protokolltypen 3 (SWIPE), 55 (IP Mobility), 77 (Sun ND) und 103 (Protocol Independent Multicast - PIM).

Auswirkung
Denial of Service. Der Router verarbeitet bis zum Neustart keine Pakete auf dem betroffenen Interface (zumindest solche Pakete, für die die CPU involviert ist, aber wenn ARP und Routing-Protokolle wegbrechen, ist die gesamte Paketverarbeitung auf dem Interface gestört).

Typ der Verwundbarkeit
Fehler in der Verwaltung der Input Queue

Gefahrenpotential
Das Verhalten von Cisco und amerikanischen Netzbetreibern zeigt, daß sie die Gefahr als sehr hoch einstufen (unmittelbare Gefährdung der Infrastruktur).
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch einen Fehler in der Verarbeitung der Input Queue eines Interfaces kann es vorkommen, daß diese nicht mehr geleert wird. Als Ergebnis kann der Router keine Pakete mehr auf diesem Interface entgegennehmen (dies betrifft sowohl Routing-Protokolle und ARP als auch mittelbar den eigentlichen IP-Verkehr).

Ausgelöst werden kann dieses Problem durch eine Folge von IPv4-Paketen, die besonderen, bis auf PIM praktisch nicht genutzte IP-Protokolltypen angehören. Inzwischen (2003-07-18) schlagen diverse Sensoren im Netz an und detektieren Angriffsversuche. Das dazu verwendete Angriffsprogramm (Exploit-Code) ist öffentlich verfügbar.

Innerhalb von Netzen von Endkunden (zum Beispiel Universitäten) ist diese Schwachstelle nicht kritisch, es sei denn, diese Netze werden explizit mit hohen Verfügbarkeitsanforderungen betrieben. Angriffe von außen werden typischerweise auch von sehr grobmaschigen Paketfiltern verhinder, da IP-Pakete mit den Protokolltypen 53, 55, 77 und 103 verworfen werden. In Netzen mit aktiv genutztem IP-Multicast wird möglicherweise PIM benötigt (allerdings seltener an der Grenze). Falls PIM aktiviert ist, können Input Queues nicht mit PIM-Pakete blockiert werden (wohl aber durch Pakete mit den übrigen Protokolltypen).

Workaround

  • Alle kritischen Protokolltypen (53, 55, 77 und 103) können an der Grenze zu nicht vertrauenswürdigen Netzen gefiltert werden, häufig ohne Funktionseinbußen.
  • Pakete, die an den Router gerichtet sind, sollten generell entweder mit IP-Receive-ACLs oder Interface-ACLs gefiltert werden. In diesem Fall soll eine Ausnutzung der Schwachstelle nur noch von den explizit freigeschalteten Adressen aus möglich sein. (Wegen der Möglichkeit von IP Spoofing ist es schwierig, hier einen vollständigen Schutz zu erreichen.)
  • Falls auf dem Router PIM aktiviert ist, kann dieser nicht durch PIM-Verkehr (IP-Protokolltyp 103) blockiert werden. Das Aktivieren von PIM kann selbst DoS-Möglichkeiten eröffnen und sollte daher nur nach sorgfältiger Prüfung erfolgen.
  • Falls der Router selbst lediglich IP-Adressen besitzt, die in Transfernetzen zu anderen Routern liegen, können u.U. die Transfernetze nicht global geroutet werden, was den Angreiferkreis deutlich einschränken kann.
  • Nach dem Aktivieren der Filter kann bei einem bereits betroffen Router die Queue-Länge hochgesetzt werden, um wieder Verkehr bearbeiten zu können. Auf diese Weise kann ein Neustart des Routers verzögert werden.

Details entnehmen Sie bitte dem Cisco-Advisory, das evtl. aktueller ist als dieses Dokument.

Gegenmaßnahmen

  • Die von Cisco zur Verfügung gestellten bzw. geplanten Software-Updates entnehmen Sie bitte dem Cisco-Advisory.

Exploit Code
Ein Angriffsprogramm ist öffentlich verfügbar und wird eingesetzt.

Vulnerability IDs

Weitere Informationen zu diesem Thema

Revisionen dieser Meldung

  • V. 1.0 (2003-07-17)
  • V. 1.1 (2003-07-18) Exploit Code und Details verfügbar
  • V. 1.1 (2003-07-18) Korrekturen zur PIM-Verarbeitung: Hilft nur gegen PIM-Pakete

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.