[Cisco/IOS] Undokumentierte SNMP Community im Cisco IOS - INTERIM
(2001-03-01 21:10:18+00)
Quelle:
http://cert.uni-stuttgart.de/archive/win-sec-ssc/2001/02/msg00037.html Im Cisco IOS existiert eine undokumentierte SNMP Community, die nicht autorisierten Zugriff auf Objekte der MIB-II System Gruppe erlaubt.
Betroffene Systeme
ATM-fähige Cisco Router und Switches (mit ILMI Support) unter IOS 11.0.2 bis 12.0.X sind betroffen, dazu gehören:
- Cisco 1400 und 1700 series
- Cisco 2600 (die c2600-c-mz, c2600-d-mz, c2600-i-mz, c2600-io3-mz und c2600-ix-mz images sind nicht verwundbar)
- Catalyst 2900 ATM, 2900XL und 2948g series
- Cisco 3620 (die c3620-d-mz, c3620-i-mz, c3620-io3-mz und c3620-ix-mz images sind nicht verwundbar)
- Cisco 3640 (die c3640-d-mz, c3640-i-mz, c3640-io3-mz und c3640-ix-mz images sind nicht verwundbar)
- Cisco 3660 (die c3660-d-mz, c3660-i-mz und c3660-ix-mz sind nicht verwundbar)
- Cisco MC3810 (die mc3810-i-mz, mc3810-is-mz, mc3810-is56i-mz und mc3810-js-mz images sind nicht verwundbar)
- Catalyst 4232, 4840g, 5000 RSFC series switches
- Cisco 4500, 4700, and 5800 DSC series
- Cisco 6200, 6400 NRP, and 6400 NSP series
- Catalyst MSM (c6msm), 6000 Hybrid Mode (c6msfc) und 6000 Native Mode (c6sup)
- Cisco RSM, 7000, 7010, 7100, 7200, ubr7200 und 7500 series
- Catalyst 8510CSR, 8510MSR, 8540CSR und 8540MSR series
- Cisco 10000 ESR und 12000 GSR series
- LS1010 und Cisco 6260-NI2
- DistributedDirector (die igs-w3 images sind nicht verwundbar)
- eventuell weitere
Typ der Verwundbarkeit
design flaw: unauthorized SNMP object disclosure
Beschreibung
Im Cisco IOS existiert eine undokumentierte SNMP Community mit Namen ILMI. Diese Community erlaubt Lese- und Schreibzugriff auf die folgenden Objekte der MIB-II System Gruppe und der LAN-EMULATION-CLIENT und PNNI MIBs:
sysDescr sysObjectID sysUpTime sysContact sysName sysLocation sysServices sysORLastChange sysORTable sysOREntry sysORIndex sysORID sysORDescr sysORUpTimeDamit ist der Betrieb der Komponenten zwar nicht grundsätzlich gefährdet, eine Manipulation der Informationen kann aber möglicherweise zur Verwirrung im Netzwerkmanagement führen. Außerdem können die Informationen von Angreifern im Rahmen einer Informationssammlung für Angriffe verwendet werden.
Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)
Gegenmaßnahmen
Im Augenblick sind noch nicht für alle betroffenen Versionen Patches verfügbar, die dieses Problem beheben. Details darüber, für welche Versionen bereits Patches verfügbar sind, entnehmen Sie bitte dem Cisco Advisory (siehe auch unten).
Workaround
Der Zugriff auf diese Community kann mit den folgenden Configurationsanweisungen unterbunden werden:
snmp-server community IMLI RO 99
snmp-server community IMLI RW 99
access-list 99 deny any log
Alternativ kann man auch den SNMP-Agenten ganz abschalten (no snmp-server). Die ILMI Community oder den View *ilmi zu löschen hilft zwar, wird aber nicht ins NVRAM übernommen, d. h. die Änderung bleibt nicht über Reboots und dergleichen hinweg erhalten.
Weitere Information zu diesem Thema
- Cisco Security Advisory: Cisco IOS Software SNMP Read-Write ILMI Community String Vulnerability (Original)
Weitere Artikel zu diesem Thema:
- [Cisco/IOS] Mehrere SNMP Community String Schwachstellen (2001-03-15)
In verschiedenen IOS und CatOS Releases existieren meherere unabhängige Fehler, die dazu führen, daß unerwartet SNMP community strings erzeugt werden und nicht autorisiert zugreifbar sind.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=104