Alert! Fehlerhafte BGP-Pakete bringen Cisco-Router zum Neustart

In Ciscos Routerbetriebssystem IOS ist eine Schwachstelle in der Implementierung des BGP-Protokolls (Border Gateway Protocol) enthalten, die zum Neustart des Routers führen kann. Angreifer können diese Schwachstelle für Denial-of-Service-Attacken ausnutzen. Cisco ist Marktführer bei Routern für Telecom-Firmen und Internet-Provider; BGP ist immer noch eines der meistgenutzten Routing-Protokolle zwischen den zentralen Internet-Routern und setzt eine persistente TCP-Verbindung zwischen BGP-Kommunikationspartnern voraus. Schafft es ein Angreifer, die BGP-Verbindungen von mehreren zentralen Internet-Routern zu kappen oder zu stören, könnte er dadurch Teile des Internet für eine gewisse Zeit unerreichbar machen.

Dazu reicht es nach Angaben des Herstellers aus, ein ungültiges BGP-Paket an einen verwundbaren Router zu senden. Allerdings muss dazu das Routing-Protokoll aktiviert sein, standardmäßig ist BGP in den Geräten abgeschaltet. Zudem müssen ein oder mehrere Peers, also Gegenstellen, in IOS definiert sein, von denen der Router BGP-Pakete entgegen nimmt. Nachdem im April bekannt wurde, wie einfach so genannte Reset-Attacken gegen BGP-Router durchzuführen sind, benutzen mittlerweile viele Provider MD5-Authentifizierung zur Überprüfung der Echtheit von Routing-Informationen.

Cisco selbst geht davon aus, dass es schwer sei die nun gefundene Lücke auszunutzen. Welche Versionen genau betroffen sind, ist dem Original-Advisory des Herstellers zu entnehmen. Neue Versionen beseitigen den Fehler.

Siehe dazu auch: (dab)

• Security Advisory von Cisco