Über das Leck in der Cisco-Implementierung des Protokolls Open Shortest Path First (OSPF) ist es möglich, Netzwerkverkehr auszuspähen. Betroffen sind zahlreiche Cisco-Netzwerkkomponenten die dieses Routing-Protokoll unter IOS und anderen Cisco-Systemen verwenden. Auch die Link State Advertisement (LSA)-Datenbank ist von dem Fehler betroffen, warnt Cisco in einem Advisory.

OSPF wird vor allem in großen Unternehmensnetzen eingesetzt. Das Protokoll sammelt die Verbindungsdaten von verfügbaren Routern und schreibt diese in eine Datenbank. Aus diesen Informationen erstellt das Protokoll dann automatisch eine Netzwerktopologie innerhalb des Autonomous Systems (AS), die dann den die Pfade für IP-Traffic im Netzwerk optimiert. Internet Service Provider wie auch große Unternehmen nutzen diese Technolgie für die Traffic-Optimierung.

Über das Leck können Angreifer vollständig die Kontrolle über die OSPF Autonomous System Domain Routing Table übernehmen und damit Traffic abfangen oder löschen. Um den Fehler auszunutzen, reiche es laut Cisco-Advisoriy, manipulierte OSPF LSA Type 1 Pakete an ein verwundbares Gerät zu schicken. Der Angreifer muss dafür nicht am System angemeldet sein. Andere Paket-Typen hingegen seien für den Angriff nicht geeignet. Ebenfalls nicht verwundbar sind OSPFv3 sowie das Protokoll Fabric Shortest Path First (FSPF).

“Ein erfolgreicher Angriff kann das Löschen der Routing-Tabelle in einem angegriffenen Router zur Folge haben und auch die Weiterverbreitung des manipulierten OSPF LSA type 1 Updates innerhalb der gesamten OSPF AS Domain”, heißt es von Cisco in dem Advisory. Für den Angriff müssten im Vorfeld aber einige Informationen bekannt sein, wie etwa das Network-Placement oder die IP-Adresse des angegriffenen Routers und unter anderem auch die Sequenz-Nummer der LSA Datenbank.

Die meisten Cisco-Geräte, die unter Cisco IOS, IOS-XE und NX-OS laufen und OSPF aktiviert haben, wie auch Adaptive Security Appliance (ASA), Cisco ASA Service Module (ASA-SM), Cisco Pix Firewall, Cisco Firewall Services Module (FWSM) und Carrier-Plattofrm Cisco ASR 5000 sind von dem Leck betroffen.

In dem Advisory listet Cisco sämtliche betroffene Produkte zusammen mit dem entsprechenden Fix in einer Tabelle. Des weiteren rät Cisco die OSPF Authentifizierung MD5 einzführen. Pakete ohne gültigen Key werden dann nicht weiter verarbeitet. Zusätzliche technische Informationen gibt es von Cisco in einem weiteren Dokument.

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

15 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

19 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

20 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago