Der Empfang einer großen Anzahl von CDP-Paketen (Cisco Discovery Protocol) führt bei Cisco Routers unter verschiedenen Versionen des Betriebssystems IOS bzw. Switches unter CatOS zu einer Fehlfunktion oder einem Absturz.

Betroffene Systeme
Cisco Routers mit den folgenden, bekanntermaßen verwundbaren IOS-Versionen:

• Cisco 1005 unter IOS 11.1.*
• Cisco 1603 unter IOS 11.2, 11.3.11b
• Cisco 2503 unter IOS 12.0.19
• Cisco 2600 unter IOS 12.1.?
• Catalyst 2940XL unter IOS 12.0(5.1)XP

Nicht betroffene Systeme
Fogende IOS-Versionen auf den entsprechenden Routers

• IOS 12.2(3.6)B
• IOS 12.2(4.1)S
• IOS 12.2(3.6)PB
• IOS 12.2(3.6)T
• IOS 12.1(10.1)
• IOS 12.2(3.6)

• CatOS 4.5(1)

Einfallstor
Cisco Discovery Protocol (CDP)

Auswirkung
Fehlfunktion oder Absturz

Typ der Verwundbarkeit
Denial of Service (DoS)

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Anmerkung:
Diese Schwachstelle besitzt für sich genommen lediglich ein mittleres Gefahrenpotential. Allerdings kann sie in einem indirekten Angriff dazu ausgenutzt werden, DoS-Attacken auf stark gesicherte Systeme, die selbst nicht gegen DoS-Attacken verwundbar sind, erfolgreich durchzuführen, sofern diese in einem Netzsegment stehen, das von einem verwundbaren Cisco-Router oder -Switch angebunden ist. Diese Tatsache läßt eine Eingruppierung in eine höhere Gefahrenklasse ratsam erscheinen.

Beschreibung
CDP ist ein Layer-2-Protokoll, das Cisco-Routers benutzen, um benachbarte Routers zu entdecken. Die oben genannten IOS- und CatOS-Versionen verarbeiten eintreffende CDP-Pakete fehlerhaft. Empfang und Verarbeitung einer großen Zahl von CDP neighbor announcement-Paketen kann bei einem solchermaßen verwundbaren System dazu führen, daß sämtliche verfügbarer Speicher dazu verbraucht wird, die empfangene Information zu speichern und das System nicht mehr in der Lage ist, bestimmungsgemäß zu arbeiten oder den Betrieb gänzlich einstellt (Absturz).
Unter der Voraussetzung, einen Zugang zum selben Netzsegement zu besitzen, kann ein Angreifer diesen Umstand dazu ausnutzen, sämtliche Netzknoten (Hosts, Gateways etc.) in diesem Netzsegment von angeschlossenen Netzen zu trennen, indem er den anbindenden Router oder Switch attackiert.

Workaround
Änderung der Router-/Switch-Konfiguration um CDP abzuschalten.

• Routers
  

  Router# configure terminal
  Enter configuration commands, one per line.  End with CNTL/Z.
  Router(config)# no cdp run
  

• Switches (Catalyst)
  

  Console> (enable) set cdp disable
  

Weitere Information zu diesem Thema

• Cisco Systems - Vulnerability in CDP
• Cisco's Response to the CDP Issue

Vulnerability ID
Cisco Bug IDs:

• CSCdu09909 (IOS)
• CSCdv57576 (CatOS)

Weitere Artikel zu diesem Thema:

• [Cisco/Catalyst 5000] Schwachstelle bei der Verarbeitung von 802.1x Frames (2001-04-17)
  Eine Schwachstelle bei der Verarbeitung von 802.1x Frames durch Cisco Catalyst 5000 Switches kann zu einer Netzwerküberlastung führen.
• [Cisco/VPN 3000] Schwachstelle bei Cisco VPN 3000 Concentrators (2001-03-29)
  Ein Datenstrom auf den Telnet/SSL oder Telnet Port kann bei Cisco VPN 3000 Concentrators zu einem Reboot führen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/