[Cisco/IOS,CatOS] Cisco Routers und Switches gegen DoS-Attacken mittels CDP verwundbar
(2001-10-15 10:49:37+00) Druckversion
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00061.html
Der Empfang einer großen Anzahl von CDP-Paketen (Cisco Discovery Protocol) führt bei Cisco Routers unter verschiedenen Versionen des Betriebssystems IOS bzw. Switches unter CatOS zu einer Fehlfunktion oder einem Absturz.
Betroffene Systeme
Cisco Routers mit den folgenden, bekanntermaßen verwundbaren
IOS-Versionen:
- Cisco 1005 unter IOS 11.1.*
- Cisco 1603 unter IOS 11.2, 11.3.11b
- Cisco 2503 unter IOS 12.0.19
- Cisco 2600 unter IOS 12.1.?
- Catalyst 2940XL unter IOS 12.0(5.1)XP
Nicht betroffene Systeme
Fogende IOS-Versionen auf den entsprechenden Routers
- IOS 12.2(3.6)B
- IOS 12.2(4.1)S
- IOS 12.2(3.6)PB
- IOS 12.2(3.6)T
- IOS 12.1(10.1)
- IOS 12.2(3.6)
Switches
- CatOS 4.5(1)
Einfallstor
Cisco Discovery Protocol
(CDP
)
Auswirkung
Fehlfunktion oder Absturz
Typ der Verwundbarkeit
Denial of Service (DoS)
Gefahrenpotential
mittel bis hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Anmerkung:
Diese Schwachstelle besitzt für sich genommen lediglich ein
mittleres Gefahrenpotential. Allerdings kann sie in einem indirekten
Angriff dazu ausgenutzt werden, DoS-Attacken auf stark gesicherte
Systeme, die selbst nicht gegen DoS-Attacken verwundbar sind,
erfolgreich durchzuführen, sofern diese in einem Netzsegment stehen,
das von einem verwundbaren Cisco-Router oder -Switch angebunden ist.
Diese Tatsache läßt eine Eingruppierung in eine höhere Gefahrenklasse
ratsam erscheinen.
Beschreibung
CDP ist ein Layer-2-Protokoll, das Cisco-Routers benutzen, um benachbarte
Routers zu entdecken. Die oben genannten IOS- und CatOS-Versionen
verarbeiten eintreffende CDP-Pakete fehlerhaft. Empfang und Verarbeitung
einer großen Zahl von CDP neighbor announcement
-Paketen
kann bei einem solchermaßen
verwundbaren System dazu führen, daß sämtliche verfügbarer Speicher
dazu verbraucht wird, die empfangene Information zu speichern und
das System nicht mehr in der Lage ist, bestimmungsgemäß zu arbeiten
oder den Betrieb gänzlich einstellt (Absturz).
Unter der Voraussetzung, einen Zugang zum selben Netzsegement zu
besitzen, kann ein Angreifer diesen Umstand dazu ausnutzen, sämtliche
Netzknoten (Hosts, Gateways etc.) in diesem Netzsegment von
angeschlossenen Netzen zu trennen,
indem er den anbindenden Router oder Switch attackiert.
Workaround
Änderung der Router-/Switch-Konfiguration um CDP abzuschalten.
- Routers
Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# no cdp run
- Switches (Catalyst)
Console> (enable) set cdp disable
Weitere Information zu diesem Thema
Vulnerability ID
Cisco Bug IDs:
- CSCdu09909 (IOS)
- CSCdv57576 (CatOS)
Weitere Artikel zu diesem Thema:
- [Cisco/Catalyst 5000] Schwachstelle bei der Verarbeitung von 802.1x Frames (2001-04-17)
Eine Schwachstelle bei der Verarbeitung von 802.1x Frames durch Cisco Catalyst 5000 Switches kann zu einer Netzwerküberlastung führen. - [Cisco/VPN 3000] Schwachstelle bei Cisco VPN 3000 Concentrators (2001-03-29)
Ein Datenstrom auf den Telnet/SSL oder Telnet Port kann bei Cisco VPN 3000 Concentrators zu einem Reboot führen.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.