Mehrere Schwachstellen in den Routinen zur Verarbeitung von ARP-Requests verschiedener Cisco WLAN Controllers (WLC) können von einem Angreifer dazu ausgenutzt werden, das System in einen unbenutzbaren Zustand zu versetzen.

Betroffene Systeme

• Cisco Serie 4100 Wireless LAN Controllers
• Cisco Serie 4400 Wireless LAN Controllers
• Cisco Airespace Serie 4000 Wireless LAN Controller
• Cisco Catalyst Serie 6500 Wireless Services Module (WiSM)
• Cisco Catalyst Serie 3750 Integrated Wireless LAN Controllers

Nicht betroffene Systeme

• Cisco Serie 2000 Wireless LAN Controllers
• Cisco Serie 2100 Wireless LAN Controllers
• Cisco Airespace Serie 3500 WLAN Controller
• Cisco 526 Wireless Express Mobility Controller
• Cisco Wireless LAN Controller Module (NM-AIR-WLC6-K9,NME-AIR-WLC8-K9,NME-AIR-WLC12-K9)
• Standalone Access Points der Serien 1100, 1200 and AP340/350
• Cisco Serie 3800 Integrated Services Routers
• Cisco Serie 2800 Integrated Services Routers
• Cisco Serie 1800 Integrated Services Routers
• Cisco Serie 800 Routers

Einfallstor
ARP-Requests

Angriffsvoraussetzung
WLAN-fähiges System in Reichweite eines betroffenen Systems

Angriffsvektorklasse
über eine Funknetzwerkverbindung
(remote)

Auswirkung
Versetzen des betroffenen Systems, bzw. Netzes in einen unbenutzbaren Zustand
(denial of service)

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Mehrere Schwachstellen in der Betriebssoftware der o.b. Modelle der Cisco Wireless LAN Controllers können von einem Angreifer dazu ausgenutzt werden, durch das Senden von (Unicast-)ARP-Requests an ein betroffenes System, einen ARP-Sturm im angeschlossenen OSI-Schicht 2-Netz auszulösen, sofern in diesem weitere betroffene WLCs vorhanden sind, und es so einen unbenutzbaren Zustand versetzen.

• CSCsj50374:
  Wenn en Client einen ARP-Request an einen betroffenen WLC sendet, der eine dem WLC noch nicht bekannte Hardware-Adresse (MAC-Adresse) enthält, wird dieser Request von diesem an alle Ports im angeschlossenen OSI-Schicht-2-Netzwerk weitergeleitet. Weitere angeschlossene WLCs verabeiten dieses Paket und leiten es wieder an alle Ports weiter. So entsteht eine Schleife, die in der Folge das Netzwerk mit diesem ARP-Request überflutet und es in einen unbenutzbaren Zustand versetzt.
• CSCsj69233:
  Sofern auf einem betroffenen WLC die arpunicast-Option aktiviert ist, sendet dieser reguläre ARP-Broadcast-Pakete erneut in das angeschlossene OSI-Schicht-2-Netzwerk. Sofern mindestens ein weiterer WLC an dieses Netzwerk angeschlossen ist, führt dies zu einer Schleife, die in der Folge das Netzwerk mit diesem ARP-Broadcast-Paket überflutet und es in einen unbenutzbaren Zustand versetzt.
• CSCsj70841:
  In einem OSI-Schicht-3 Roaming-Szenario, in dem ein Client unter Beibehaltung der zugewiesenen IP-Adresse den Funkbereich eines WLC velässt und nun von einem anderen WLC versorgt wird, der einem anderen IP-Subnetz angehört, kann ein ARP-Request des Clients nicht mehr zum ursprünglichen WLC getunnelt werden.

Workaround

• CSCsj69233:
  Abschaltung der arpunicast-Option

Gegenmaßnahmen

• Installation der durch Cisco bereitgestellten korrigierten Softwareversionen sobald diese verfügbar sind

Vulnerability ID

• CSCsj69233 (nur für registrierte Cisco-Kunden zugreifbar)
• CSCsj50374 (nur für registrierte Cisco-Kunden zugreifbar)
• CSCsj70841 (nur für registrierte Cisco-Kunden zugreifbar)
• bislang wurden noch keine CVE-Namen vergeben

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/