Eine Schwachstelle im Cisco Express Forwarding (CEF) kann dazu ausgenutzt werden, Inhaltsfragmente bereits vorher weitergeleiteter Pakete auszulesen.

Betroffene Systeme

• Cisco IOS 11.1CC
• Cisco IOS 12.0, 12.0S, 12.0T, 12.0ST
• Cisco IOS 12.1, 12.1E, 12.1T
• Cisco IOS 12.2, 12.2T
• weitere IOS-Versionen, die CEF oder dCEF unterstützen

Einfallstor
legale Pakete (Pakete, die durch eine eventuell vorhandene ACL nicht verworfen werden) an den Router, deren Länge auf der MAC-Ebene (OSI-Schicht 2) kürzer ist, als im entsprechenden Feld des IP-Headers (OSI-Schicht 3) angegeben.

Auswirkung
Weitergabe von Inhaltsfragmenten bereits vorher weitergeleiteter Pakete

Typ der Verwundbarkeit
buffer underflow bug

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Cisco Express Forwarding (CEF) ist eine von Cisco entwickelte Technologie zur Effizienzsteigerung des OSI-Level 3-Switching. dCEF ist ein Modus von CEF, in dem alle Line Cards eines Gerätes zusammenarbeiten indem die interne Routinginformation auf allen Karten verteilt gehalten wird.
Hinweis:
Auf Cisco Serie 12000 Routers ist dCEF standardmäßig aktiviert.

Beschreibung
In den Routinen zur Implementierung des Cisco Express Forwarding (CEF) im Cisco-Betriebssystem IOS existiert eine Schwachstelle, die dazu führen kann, daß Inhaltsfragmente bereits weitergeleiteter Pakete in danach bearbeitete Pakete gelangt.

Wenn legale Pakete (Pakete, die durch eine eventuell vorhandene ACL nicht verworfen werden) an einen gegen diese Schwachstelle verwundbaren Router geschickt werden, deren physikalische (OSI-Schicht 2) Länge kleiner ist, als die im entsprechenden Feld des IP-Headers (OSI-Schicht 3) angegebe Länge, werden sie vom Router bei der Berabeitung durch die CEF-Routinen mit zufälligen Daten aufgefüllt um diese Inkonsistenz zu beseitigen. Dabei kann es vorkommen, daß Daten bereits weitergeleiteter Pakete, die sich noch im Speicher befinden, für dieses Padding verwendet werden.

Ein Angreifer, der Zugriff auf ein von dem anzugreifenden Router versorgtes Netzwerk hat, kann durch systematisches Senden solchermaßen formulierter Pakete und des Empfangs der weitergeleiteten Pakete möglicherweise substantielle Teile des IP-Verkehrs anderer Teilnehmer mitschneiden. Dabei hat er alledings keinen Einfluß darauf, welche und wieviele Inhaltsfragmente aus dem Speicher des angegriffenen Routers ausgelesen werden. Da dieser Angriff die reguläre Funktionalität des betroffenen Routers nutzt und keinerlei Betriebsstörung herbeiführt, kann er zu längerfristigem Belauschen fremden Netzwerkverkehrs ausgenutzt werden. In diesem Zusammenhang erscheint es nicht unwahrscheinlich, daß der Angreifer hierbei Authentifizierungsinformation oder andere wertvolle Daten sammeln kann.

Workaround
Deaktivierung von CEF bzw. dCEF

• CEF kann durch folgende Kommandosequenz deaktiviert werden:

  $ telnet router
  [...]
  User Access Verification
  
  Password: Paßwort
  router>enable
  Password: enable-Paßwort
  router#configure
  Configuring from terminal, memory, or network [terminal]? terminal
  Enter configuration commands, one per line.  End with CNTL/Z.
  router(config)# no ip cef
  router#end
  router#quit
  Connection closed by foreign host.
  

• dCEF kann durch folgende Kommandosequenz deaktiviert werden:

  $ telnet router
  [...]
  User Access Verification
  
  Password: Paßwort
  router>enable
  Password: enable-Paßwort
  router#configure
  Configuring from terminal, memory, or network [terminal]? terminal
  Enter configuration commands, one per line.  End with CNTL/Z.
  router(config)# no ip cef distributed
  router#end
  router#quit
  Connection closed by foreign host.  
  

Gegenmaßnahmen

• Installation der entsprechenden gepatchten Version von IOS
  Details entnehmen Sie bitte dem entsprechenden Cisco Security Advisory: Data Leak with Cisco Express Forwarding.

Vulnerability ID

• Cisco Bug ID CSCdu20643
• Cisco Bug ID CSCdp58360 (für IOS 11.1CC)

Weitere Information zu diesem Thema

• White Paper: Cisco IOS Reference Guide
• White Paper: Cisco Express Forwarding (CEF)
• Cisco Express Forwarding Overview

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/