DoS-Lücke in Cisco IOS gefährdet Router der Internet Provider [Update]
Der Befehl "show ip bgp regexp" mit bestimmten regulären Ausdrücken bringt IOS zum Neustart. Gefährdet sind insbesondere die per Telnet zugänglichen Public Router Server der Internet Provider. Unter Umständen sind auch Core-Router angreifbar.
- Daniel Bachfeld
Eine Denial-of-Service-Schwachstelle in Ciscos Netzwerkbetriebssystem IOS lässt sich ausnutzen, um etwa Router von ISPs zum Neustart zu bringen. Ursache ist ein Fehler bei der Verarbeitung des Befehls "show ip bgp regexp" mit bestimmten regulären Ausdrücken als Argument. In der Folge bootet der Router neu und muss etwa seine BGP-Routing-Tabelle neu aufbauen. Geschieht dies mehrmals hintereinander, also fällt eine Route mehrfach weg, so kann er von anderen Providern für einen gewissen Zeitraum ignoriert werden. Damit wäre das Netz eines Providers nicht mehr erreichbar.
Üblicherweise betreibt jeder ISP für jedermann per Telnet zugängliche Public Route Server beziehungsweise Route Monitors auf denen sich der genannte Befehl ausführen lässt. Route Server dienen zum Abfragen der Routing-Informationen eines ISPs zu anderen ISPs. Neben dem Telnet-Zugang bieten einige Provider auch die Abfrage über das Looking-Glass-Webinterface an, das im wesentlichen ein Telnet-Wrapper ist und über das sich ebenfalls manipulierte Parameter an einen Router übergeben lassen.
Zwar lässt sich die Lücke sehr leicht ausnutzen, allerdings ist die Tragweite schwer einzuschätzen. Große ISP setzen als Router Server dedizierte Systeme ein, die nur Informationen liefern und nicht zum Routen eingesetzt werden. Anders kann dies bei kleineren Provider aussehen, die aus Kostengründen alles über ein System abwickeln. Darüberhinaus kann aber ein Looking-Glass-Server auf einen Core-Router eines großen ISPs zugreifen, womit dieser indirekt angreifbar ist.
Eine aktualisierte Fassung von IOS ist Berichten zufolge noch nicht verfügbar, auch soll Cisco noch keine Informationen über das Problem auf offiziellen Kanälen herausgegeben haben. Als Workaround filtern die ersten ISPs die Übergabe des regulären Ausdrucks auf den Looking-Glass-Servern aus. Bei den Zugriffen per Telnet soll es genügen, den "show ip bgp regexp"-Befehl zu sperren.
Administratoren sollten die Workarounds so bald wie möglich durchführen, da die detaillierten Informationen über die Lücke bereits über diverse IRC-Channels verbreitet werden.
Update:
Cisco bestätigte gegenüber heise Security, dass man über das Problem informiert sei und es derzeit untersuche. Nach ersten Analysen des Cisco PSIRT (Product Security Incident Response Team) soll es einem seit 2005 bekannten Fehler ähneln. Als Workaround schlägt Cisco vor, die "Deterministic Regular Expression Engine" zu aktivieren.
Siehe dazu auch:
- Route 666 - Angriffe über Routing-Protokolle, Hintergrundartikel auf heise Security
(dab)
