Im Rahmen der Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities veröffentlicht das CISCO-PSIRT Information über drei Schwachstellen in den Implementierungen des VLAN Trunking Protocol diverser Versionen der Betriebssysteme IOS und CatOS für Cisco Switches. Zwei dieser Schwachstellen können für Denial-of-Service-Angriffe genutzt werden, während eine zur Kompromittierung verwundbarer Switches verwendet werden kann.

Betroffene Systeme

• CVE-2006-4774:
  Cisco IOS 12.1(19)
• CVE-2006-4775:
  
  • Cisco IOS 12.1(19)
  • Cisco CatOS 12.1(19)
• CVE-2006-4776:
  Cisco IOS 12.1(19)

Einfallstor

• CVE-2006-4774:
  VTP Version 1 summary frame mit einem VTP version field, das den Wert "2" hat
• CVE-2006-4775:
  VTP update mit einem revision value von 0x7FFFFFFF
• CVE-2006-4776:
  Besonders langer VLAN-Name in einem VTP type 2 summary advertisement

Angriffsvoraussetzung

• CVE-2006-4774:
  Zugriff zum per VTP administrierten VLAN-Trunk
• CVE-2006-4775:
  Zugriff zum per VTP administrierten VLAN-Trunk
• CVE-2006-4776:
  Zugriff zum per VTP administrierten VLAN-Trunk

Auswirkung

• CVE-2006-4774:
  Nichtverfügbarkeit des betroffenen Switches
  (Denial of Service)
• CVE-2006-4775:
  Unterdrücken neuer VTP updates innerhalb der betroffenen Domäne auf verwundbaren Switches
  (Denial of Service)
• CVE-2006-4776:
  Ausführen beliebigen Programmcodes auf verwundbaren Switches über eine Netzwerkverbindung
  (remote system compromise)

Typ der Verwundbarkeit

• CVE-2006-4774:
  Programmierfehler
• CVE-2006-4775:
  Programmierfehler
• CVE-2006-4776:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• CVE-2006-4774:
  mittel bis hoch
• CVE-2006-4775:
  mittel bis hoch
• CVE-2006-4776:
  sehr hoch

Kontext
Das VLAN Trunking Protocol (VTP) ist ein proprietäres Layer-2-Protokoll der Fa. Cisco Inc. zur Konfiguration und Administration von Switches. Das Protokoll dient dazu, mittels sogenannter VTP advertisements Konfigurations- und Administrationsinformation an alle teilnehmenden Switches einer Domäne über die entsprechenden Trunks zu senden.

Die teilnehmenden Cisco-Switches können dabei in drei verschiedenen Modi arbeiten: server, client und transparent. Im server-Modus sendet ein Switch Advertisements in die Domäne, im client-Mode empfängt und verarbeitet er Advertisements von im server-Modus arbeitenden Switches ohne eigene zu verschicken während im transparent-Modus die empfangenen Advertisements lediglich weitergeleitet werden.

Advertisements enthalten einen revision value, der inkrementiert wird. Anhand dieses Wertes entscheiden die teilnehmenden Switches ob es sich bei einem empfangenen Advertisement um ein neueres als das letzte verarbeitete handelt und ob es daher ebenfalls verarbeitet oder verworfen werden soll.

Beschreibung

• CVE-2006-4774:
  Eine Schwachstelle in der Implementierung der Verarbeitung von VTP summary Nachrichten kann dazu führen, dass der empfangende Switch in einen unbenutzbaren Zustand gerät oder einen Reset durchführt. Dieser Umstand kann von einem Angreifer zur Störung des Betriebes einer VTP-Domäne ausgenutzt werden.

Zur erfolgreichen Ausnutzung der Schwachstelle muss ein Angreifer ein VTP Version 1 summary frame mit einem version field verschicken, das den Wert "2" trägt.

Nur Switches, die in den VTP-Modi server oder client arbeiten sind von dieser Schwachstelle betroffen.

• CVE-2006-4775:
  Eine Schwachstelle in der Revisionsverwaltung der VTP-Datenbank eines Switches kann dazu führen, dass der Wert des Revisonszählers als negative Zahl interpretiert wird und daher für alle folgenden Advertisements nicht mehr entscheidbar ist, ob sie neuer sind und daher verarbeitet werden sollen. Ein betroffener Switch nimmt in diesem Falle keine neuen Advertisements mehr an und passt so seine Konfiguration nicht mehr an. Dieser Umstand kann von einem Angreifer dazu ausgenutzt werden, Konfigurationsänderungen zu unterdrücken.

  Zur erfolgreichen Ausnutzung muss ein Angreifer ein VTP update mit dem revision value 0x7FFFFFFF senden, der auf einem betroffenen System zu 0x80000000 inkrementiert und als negative Zahl interpretiert wird.

  Nur Switches, die in den VTP-Modi server oder client arbeiten sind von dieser Schwachstelle betroffen.

• CVE-2006-4776:
  Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von VLAN-Namen von VTP summary Advertisements kann zur Ausführung beliebigen Programmcodes auf dem beherbergenden Switch und somit zur Kompromittierung desselben ausgenutzt werden.

  Zur erfolgreichen Ausnutzung muss ein Angreifer ein VTP summary Advertisement mit einem Type-Length-Value (TLV) senden, der mehr als 100 Zeichen enthält.

  Nur Switches, die in den VTP-Modi server oder client arbeiten sind von dieser Schwachstelle betroffen.

Gegenmaßnahmen

• CVE-2006-4774:
  Anwendung der im Dokument "Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities" beschriebenen Maßnahmen
• CVE-2006-4775:
  Anwendung der im Dokument "Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities" beschriebenen Maßnahmen
• CVE-2006-4776:
  Anwendung der im Dokument "Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities" beschriebenen Maßnahmen

Vulnerability ID

• CVE-2006-4774, CSCsd52629, CSCsd34759
• CVE-2006-4775, CSCse40078, CSCse47765
• CVE-2006-4776, CSCsd34855, CSCei54611

Weitere Information zu diesem Thema

• CVE-2006-4774, CVE-2006-4775, CVE-2006-4776 :
  
  • Phenoelit Advisory <wir-haben-auch-mal-was-gefunden #081 +---+>
  • Understanding and Configuring VLAN Trunk Protocol (VTP)

Revisonen dieser Meldung

• V 1.0: Als Kurzmeldung veröffentlicht (2006-09-14)
• V 1.1: Zur Vollmeldung erweitert (2006-09-14)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/