Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-511

[Cisco/IOS,CatOS] Cisco Routers und Switches gegen DoS-Attacken mittels CDP verwundbar
(2001-10-15 10:49:37+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00061.html

Der Empfang einer großen Anzahl von CDP-Paketen (Cisco Discovery Protocol) führt bei Cisco Routers unter verschiedenen Versionen des Betriebssystems IOS bzw. Switches unter CatOS zu einer Fehlfunktion oder einem Absturz.

Betroffene Systeme
Cisco Routers mit den folgenden, bekanntermaßen verwundbaren IOS-Versionen:

Offenbar sind auch verschiedene Versionen von CatOS (Ciscos Betriebssystem für Switches) verwundbar. Information, um welche Versionen es sich hierbei handelt, liegt dem RUS-CERT derzeit nicht vor. Es ist daher davon auszugehen, daß alle Versionen auf beliebiger Switch-Hardware von Cisco, die im folgenden Abschnitt nicht explizit ausgeschlossen werden, als verwundbar anzusehen sind.

Nicht betroffene Systeme
Fogende IOS-Versionen auf den entsprechenden Routers

sowie spätere Versionen.

Switches

Einfallstor
Cisco Discovery Protocol (CDP)

Auswirkung
Fehlfunktion oder Absturz

Typ der Verwundbarkeit
Denial of Service (DoS)

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Anmerkung:
Diese Schwachstelle besitzt für sich genommen lediglich ein mittleres Gefahrenpotential. Allerdings kann sie in einem indirekten Angriff dazu ausgenutzt werden, DoS-Attacken auf stark gesicherte Systeme, die selbst nicht gegen DoS-Attacken verwundbar sind, erfolgreich durchzuführen, sofern diese in einem Netzsegment stehen, das von einem verwundbaren Cisco-Router oder -Switch angebunden ist. Diese Tatsache läßt eine Eingruppierung in eine höhere Gefahrenklasse ratsam erscheinen.

Beschreibung
CDP ist ein Layer-2-Protokoll, das Cisco-Routers benutzen, um benachbarte Routers zu entdecken. Die oben genannten IOS- und CatOS-Versionen verarbeiten eintreffende CDP-Pakete fehlerhaft. Empfang und Verarbeitung einer großen Zahl von CDP neighbor announcement-Paketen kann bei einem solchermaßen verwundbaren System dazu führen, daß sämtliche verfügbarer Speicher dazu verbraucht wird, die empfangene Information zu speichern und das System nicht mehr in der Lage ist, bestimmungsgemäß zu arbeiten oder den Betrieb gänzlich einstellt (Absturz).
Unter der Voraussetzung, einen Zugang zum selben Netzsegement zu besitzen, kann ein Angreifer diesen Umstand dazu ausnutzen, sämtliche Netzknoten (Hosts, Gateways etc.) in diesem Netzsegment von angeschlossenen Netzen zu trennen, indem er den anbindenden Router oder Switch attackiert.

Workaround
Änderung der Router-/Switch-Konfiguration um CDP abzuschalten.

Es ist sowohl bei Routers als auch bei Switches möglich, CDP jeweils für einzelne, angeschlossene Netzsegmente abzuschalten, diese Vorgehensweise erscheint in diesem Fall jedoch nicht ratsam.

Weitere Information zu diesem Thema

Vulnerability ID
Cisco Bug IDs:

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=511