Sicherheitsupdates: Cisco Switches sind für DoS-Attacken anfällig

Aufgrund von mehreren Softwareschwachstellen im Netzwerkbetriebssystem NX-OS sind bestimmte Switches von Cisco verwundbar. Außerdem sind Attacken auf Application Policy Infrastrucutre Controller vorstellbar. Sicherheitspatches schaffen Abhilfe.

DoS-Schwachstelle

Weil der DHCPv6-Relay-Agent im NX-OS Eingaben in bestimmten Feldern fehlerhaft verarbeitet, können Angreifer mit präparierten Nachrichten an einer Sicherheitslücke (CVE-2024-20446 "hoch") ansetzen. Klappt so eine Attacke, führt das zu einem Crash des dhcp_snoop-Prozess und mehreren Neustarts des Prozesses.

Cisco führt aus, dass davon ausschließlich Switches der Nexus-Serien 3000, 7000 und 9000 betroffen sind, wenn die NX-OS-Version 8.2(11), 9.3(9) oder 10.2(1) installiert ist. Überdies muss der DHCPv6-Relay-Agent im Zusammenspiel mit mindestens einer IPv6-Adresse aktiviert sein.

Die gegen diese Attacke gerüstete NX-OS-Ausgabe müssen Admins in der unterhalb dieses Beitrages verlinkten Warnmeldung über Ciscos Software Checker herausfinden.

Weitere Bedrohungen

Die Entwickler haben in NX-OS noch mehr Lücken geschlossen. Unter anderem können sich Angreifer Root-Rechte aneigenen (CVE-2024-20411 "mittel"). Dafür müssen sie aber lokalen Zugriff auf die Bash Shell haben. Ist das gegeben, können sich Angreifer zudem zum Network-Admin hochstufen (CVE-2024-20413 "mittel").

Ferner sind noch Attacken auf Application Policy Infrastructure Controller möglich. An dieser Stelle kann ein entfernte authentifizierter Angreifer mit Schadcode versehene Software-Images installieren (CVE-2024-20478 "mittel").

Liste nach Bedrohungsgrad absteigend sortiert:

• NX-OS Software DHCPv6 Relay Agent Denial of Service
• NX-OS Software Bash Arbitrary Code Execution and Privilege Escalation
• Application Policy Infrastructure Controller Privilege Escalation
• NX-OS Software Python Sandbox Escape
• NX-OS Software Command Injection
• Application Policy Infrastructure Controller Unauthorized Policy Actions

(des)