Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-511

[Cisco/IOS,CatOS] Cisco Routers und Switches gegen DoS-Attacken mittels CDP verwundbar
(2001-10-15 10:49:37+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00061.html

Der Empfang einer großen Anzahl von CDP-Paketen (Cisco Discovery Protocol) führt bei Cisco Routers unter verschiedenen Versionen des Betriebssystems IOS bzw. Switches unter CatOS zu einer Fehlfunktion oder einem Absturz.

Betroffene Systeme
Cisco Routers mit den folgenden, bekanntermaßen verwundbaren IOS-Versionen:

  • Cisco 1005 unter IOS 11.1.*
  • Cisco 1603 unter IOS 11.2, 11.3.11b
  • Cisco 2503 unter IOS 12.0.19
  • Cisco 2600 unter IOS 12.1.?
  • Catalyst 2940XL unter IOS 12.0(5.1)XP
Offenbar sind auch verschiedene Versionen von CatOS (Ciscos Betriebssystem für Switches) verwundbar. Information, um welche Versionen es sich hierbei handelt, liegt dem RUS-CERT derzeit nicht vor. Es ist daher davon auszugehen, daß alle Versionen auf beliebiger Switch-Hardware von Cisco, die im folgenden Abschnitt nicht explizit ausgeschlossen werden, als verwundbar anzusehen sind.

Nicht betroffene Systeme
Fogende IOS-Versionen auf den entsprechenden Routers

  • IOS 12.2(3.6)B
  • IOS 12.2(4.1)S
  • IOS 12.2(3.6)PB
  • IOS 12.2(3.6)T
  • IOS 12.1(10.1)
  • IOS 12.2(3.6)
sowie spätere Versionen.

Switches
  • CatOS 4.5(1)

Einfallstor
Cisco Discovery Protocol (CDP)

Auswirkung
Fehlfunktion oder Absturz

Typ der Verwundbarkeit
Denial of Service (DoS)

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Anmerkung:
Diese Schwachstelle besitzt für sich genommen lediglich ein mittleres Gefahrenpotential. Allerdings kann sie in einem indirekten Angriff dazu ausgenutzt werden, DoS-Attacken auf stark gesicherte Systeme, die selbst nicht gegen DoS-Attacken verwundbar sind, erfolgreich durchzuführen, sofern diese in einem Netzsegment stehen, das von einem verwundbaren Cisco-Router oder -Switch angebunden ist. Diese Tatsache läßt eine Eingruppierung in eine höhere Gefahrenklasse ratsam erscheinen.

Beschreibung
CDP ist ein Layer-2-Protokoll, das Cisco-Routers benutzen, um benachbarte Routers zu entdecken. Die oben genannten IOS- und CatOS-Versionen verarbeiten eintreffende CDP-Pakete fehlerhaft. Empfang und Verarbeitung einer großen Zahl von CDP neighbor announcement-Paketen kann bei einem solchermaßen verwundbaren System dazu führen, daß sämtliche verfügbarer Speicher dazu verbraucht wird, die empfangene Information zu speichern und das System nicht mehr in der Lage ist, bestimmungsgemäß zu arbeiten oder den Betrieb gänzlich einstellt (Absturz).
Unter der Voraussetzung, einen Zugang zum selben Netzsegement zu besitzen, kann ein Angreifer diesen Umstand dazu ausnutzen, sämtliche Netzknoten (Hosts, Gateways etc.) in diesem Netzsegment von angeschlossenen Netzen zu trennen, indem er den anbindenden Router oder Switch attackiert.

Workaround
Änderung der Router-/Switch-Konfiguration um CDP abzuschalten.

  • Routers
    Router# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)# no cdp run
    
  • Switches (Catalyst)
    Console> (enable) set cdp disable
    
Es ist sowohl bei Routers als auch bei Switches möglich, CDP jeweils für einzelne, angeschlossene Netzsegmente abzuschalten, diese Vorgehensweise erscheint in diesem Fall jedoch nicht ratsam.

Weitere Information zu diesem Thema

Vulnerability ID
Cisco Bug IDs:

  • CSCdu09909 (IOS)
  • CSCdv57576 (CatOS)

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.