Cisco-Switches mit CatOS stürzen bei fehlerhaftem Verbindungsaufbau ab
Besitzer von Cisco-Switches mit dem Betriebssystem CatOS sollten auf die neueste Version aufrüsten, da Angreifer einen Fehler im TCP-Handshake für Denial-of-Service-Attacken ausnutzen können.
Besitzer von Cisco-Switches mit dem Betriebssystem CatOS sollten auf die neueste Version aufrüsten, da Angreifer einen Fehler im TCP-Handshake für Denial-of-Service-Attacken ausnutzen können. Nach Angaben des Herstellers provoziert ein fehlerhafter Verbindungsaufbau zum Telnet-, SSH- oder HTTP-Server des Switchmanagements einen Absturz und Neustart des Gerätes. Dazu genügt es beim TCP-Handshake, anstatt des abschließenden ACK-Paketes ein ungültiges Paket zu senden. Dieser Angriff lässt sich so auch mit gefälschten IP-Absenderadressen durchführen.
Betroffen sind:
- Catalyst 6000 series
- Catalyst 5000 series
- Catalyst 4500 series
- Catalyst 4000 series
- Catalyst 2948G, 2980G, 2980G-A, 4912G
- Catalyst 2901, 2902, 2926[T,F,GS,GL], 2948
Welche Softwareversionen genau verwundbar sind, ist dem Original-Advisory zu entnehmen. Ciscos IOS ist nicht betroffen.
Laut Cisco sind der HTTP- und SSH-Dienst standardmäßig unter CatOS deaktiviert. Ob SSH oder HTTP aktiviert sind, können Anwender auf die Schnelle mit einem Telnet-Zugriff auf Port 80 und 22 feststellen. Der Hersteller hat neue Softwareversionen zur Verfügung gestellt, in denen der Fehler behoben ist. Cisco empfiehlt zusätzlich, das Management-Interface in ein separates VLAN (virtuelles LAN) aufzunehmen und den Zugriff mit Access Control Lists (ACL) zu filtern. Allerdings hilft Letzteres nicht gegen gespoofte IP-Adressen.
Siehe dazu auch: (dab)
- Security Advisory von Cisco
