Bitte sachte scannen – der Router könnte abstürzen
Ein vermeintlich harmloser nmap-Scan mit bestimmten Parametern genügt offenbar, um ein ganzes Firmennetzwerk kurzzeitig lahm zu legen.
- Daniel Bachfeld
Ein nmap-Scan mit bestimmten Parametern genügt offenbar, um ein ganzes Firmennetzwerk kurzzeitig lahm zu legen. Auf der Sicherheits-Mailingliste Full Disclosure berichtete ein Netzwerkadministrator, dass er zum Herausfinden der SNMP-Versionen von Routern und Servern folgenden Befehl verwendete:
nmap -sU -sV -p 161-162 -iL target_file.txt
wobei target_file.txt die IP-Adressen seiner Systeme enthielt. Der Scan endete allerdings damit, dass die meisten seiner Netzwerkgeräte abstürzten und neu starteten, darunter auch mehrere Cisco-Router. Die Resonanz auf die Frage an die Liste, ob das Problem auf eine DoS-Schwachstelle in den Geräten oder auf eine fehlerhafte Konfiguration zurückzuführen sei, fällt allerdings sehr unterschiedlich aus.
Roland Dobbins vom Anti-DDoS-Spezialisten Arbor Networks findet die Abstürze aufgrund von Scans ganz normal und sieht das Problem eher in der fehlenden Isolierung des Management-Netzes. Damit wäre es auch einem Angreifer und nicht nur dem Admin möglich, auf die Router zuzugreifen. Florian Weimer vom Debian-Projekt stimmt zumindest der Ursache für das Problem zu: Fingerprinting sei eine bekannte Methode, um Geräte aus der Ferne zu stören. Dennoch gehöre der Fehler gemeldet und gefixt.
Über die Ursache für die Abstürze gehen die Meinungen auseinander. Während Dobbins das Flooding eines Ports in dessen Folge die CPU 100 Prozent Last erreicht, als Ursache ausgemacht haben will, kontert der Sicherheitsspezialist Thierry Zoller, dass dies nicht der Fall sei. Offenbar genügten wenig Pakete, um den Neustart zu provozieren. Ohnehin sei egal, ob das Managementnetz nun separiert sei oder nicht; so oder so sei es eine Schwachstelle. Dan Kaminsky fügt dem hinzu, dass man vielleicht bei einem billigen Linksys-Router ein derartiges Verhalten erwarte, aber nicht von teurer Hardware wie in diesem Fall.
Cor Rosielle vom Sicherheitsspezialisten Outpost24 verfehlt mit seinem Ratschlag, statt nmap lieber den Scanner Unicorn einzusetzen, das eigentliche Thema nur knapp. Die nmap-Option -sV zur Abfrage der Version eines Dienstes sei gefährlich und führe bekanntermaßen (bei Routern) zu Abstürzen.
Ob im Rahmen der Diskussion einer der Teilnehmer die Zeit fand, Cisco zu informieren, ist unklar. Bleibt festzuhalten, dass man sein (Management-)Netzwerk nur sehr vorsichtig scannen und vom Rest der Belegschaft fernhalten sollte. (dab)
