Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1126

[Cisco/IOS] DoS-Schwachstelle in IOS - Angriffe erfolgen (Update)
(2003-07-17 08:51:42.633692+00)

Quelle: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml

Eine Schwachstelle in IOS kann die Verarbeitung von Paketen verhindern und die Funktion des Routers erheblich beeinträchtigen. Seit dem 2003-07-18 ist ein Programm zum Durchführen von Angriffen (Exploit Code) öffentlich verfügbar.

Betroffene Systeme

Die meisten Versionen, die vor dem 2003-07-17 veröffentlicht wurden, scheinen betroffen zu sein. Bitte prüfen Sie die Tabelle im Cisco-Advisory.

Einfallstor
IPv4-Pakete, die an eine IP-Adresse des Routers gerichtet sind. Kritisch sind Pakete mit den IP-Protokolltypen 3 (SWIPE), 55 (IP Mobility), 77 (Sun ND) und 103 (Protocol Independent Multicast - PIM).

Auswirkung
Denial of Service. Der Router verarbeitet bis zum Neustart keine Pakete auf dem betroffenen Interface (zumindest solche Pakete, für die die CPU involviert ist, aber wenn ARP und Routing-Protokolle wegbrechen, ist die gesamte Paketverarbeitung auf dem Interface gestört).

Typ der Verwundbarkeit
Fehler in der Verwaltung der Input Queue

Gefahrenpotential
Das Verhalten von Cisco und amerikanischen Netzbetreibern zeigt, daß sie die Gefahr als sehr hoch einstufen (unmittelbare Gefährdung der Infrastruktur).
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch einen Fehler in der Verarbeitung der Input Queue eines Interfaces kann es vorkommen, daß diese nicht mehr geleert wird. Als Ergebnis kann der Router keine Pakete mehr auf diesem Interface entgegennehmen (dies betrifft sowohl Routing-Protokolle und ARP als auch mittelbar den eigentlichen IP-Verkehr).

Ausgelöst werden kann dieses Problem durch eine Folge von IPv4-Paketen, die besonderen, bis auf PIM praktisch nicht genutzte IP-Protokolltypen angehören. Inzwischen (2003-07-18) schlagen diverse Sensoren im Netz an und detektieren Angriffsversuche. Das dazu verwendete Angriffsprogramm (Exploit-Code) ist öffentlich verfügbar.

Innerhalb von Netzen von Endkunden (zum Beispiel Universitäten) ist diese Schwachstelle nicht kritisch, es sei denn, diese Netze werden explizit mit hohen Verfügbarkeitsanforderungen betrieben. Angriffe von außen werden typischerweise auch von sehr grobmaschigen Paketfiltern verhinder, da IP-Pakete mit den Protokolltypen 53, 55, 77 und 103 verworfen werden. In Netzen mit aktiv genutztem IP-Multicast wird möglicherweise PIM benötigt (allerdings seltener an der Grenze). Falls PIM aktiviert ist, können Input Queues nicht mit PIM-Pakete blockiert werden (wohl aber durch Pakete mit den übrigen Protokolltypen).

Workaround

Details entnehmen Sie bitte dem Cisco-Advisory, das evtl. aktueller ist als dieses Dokument.

Gegenmaßnahmen

Exploit Code
Ein Angriffsprogramm ist öffentlich verfügbar und wird eingesetzt.

Vulnerability IDs

Weitere Informationen zu diesem Thema

Revisionen dieser Meldung

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1126