Menü
Alert!

Cisco-Switches mit CatOS stürzen bei fehlerhaftem Verbindungsaufbau ab

vorlesen Drucken Kommentare lesen 44 Beiträge

Besitzer von Cisco-Switches mit dem Betriebssystem CatOS sollten auf die neueste Version aufrüsten, da Angreifer einen Fehler im TCP-Handshake für Denial-of-Service-Attacken ausnutzen können. Nach Angaben des Herstellers provoziert ein fehlerhafter Verbindungsaufbau zum Telnet-, SSH- oder HTTP-Server des Switchmanagements einen Absturz und Neustart des Gerätes. Dazu genügt es beim TCP-Handshake, anstatt des abschließenden ACK-Paketes ein ungültiges Paket zu senden. Dieser Angriff lässt sich so auch mit gefälschten IP-Absenderadressen durchführen.

Betroffen sind:

  • Catalyst 6000 series
  • Catalyst 5000 series
  • Catalyst 4500 series
  • Catalyst 4000 series
  • Catalyst 2948G, 2980G, 2980G-A, 4912G
  • Catalyst 2901, 2902, 2926[T,F,GS,GL], 2948

Welche Softwareversionen genau verwundbar sind, ist dem Original-Advisory zu entnehmen. Ciscos IOS ist nicht betroffen.

Laut Cisco sind der HTTP- und SSH-Dienst standardmäßig unter CatOS deaktiviert. Ob SSH oder HTTP aktiviert sind, können Anwender auf die Schnelle mit einem Telnet-Zugriff auf Port 80 und 22 feststellen. Der Hersteller hat neue Softwareversionen zur Verfügung gestellt, in denen der Fehler behoben ist. Cisco empfiehlt zusätzlich, das Management-Interface in ein separates VLAN (virtuelles LAN) aufzunehmen und den Zugriff mit Access Control Lists (ACL) zu filtern. Allerdings hilft Letzteres nicht gegen gespoofte IP-Adressen.

Siehe dazu auch: (dab)