Cisco behebt verbreitetes Netzwerk-Leck

Über das Leck in der Cisco-Implementierung des Protokolls Open Shortest Path First (OSPF) ist es möglich, Netzwerkverkehr auszuspähen. Betroffen sind zahlreiche Cisco-Netzwerkkomponenten die dieses Routing-Protokoll unter IOS und anderen Cisco-Systemen verwenden. Auch die Link State Advertisement (LSA)-Datenbank ist von dem Fehler betroffen, warnt Cisco in einem Advisory.

OSPF wird vor allem in großen Unternehmensnetzen eingesetzt. Das Protokoll sammelt die Verbindungsdaten von verfügbaren Routern und schreibt diese in eine Datenbank. Aus diesen Informationen erstellt das Protokoll dann automatisch eine Netzwerktopologie innerhalb des Autonomous Systems (AS), die dann den die Pfade für IP-Traffic im Netzwerk optimiert. Internet Service Provider wie auch große Unternehmen nutzen diese Technolgie für die Traffic-Optimierung.

Über das Leck können Angreifer vollständig die Kontrolle über die OSPF Autonomous System Domain Routing Table übernehmen und damit Traffic abfangen oder löschen. Um den Fehler auszunutzen, reiche es laut Cisco-Advisoriy, manipulierte OSPF LSA Type 1 Pakete an ein verwundbares Gerät zu schicken. Der Angreifer muss dafür nicht am System angemeldet sein. Andere Paket-Typen hingegen seien für den Angriff nicht geeignet. Ebenfalls nicht verwundbar sind OSPFv3 sowie das Protokoll Fabric Shortest Path First (FSPF).

“Ein erfolgreicher Angriff kann das Löschen der Routing-Tabelle in einem angegriffenen Router zur Folge haben und auch die Weiterverbreitung des manipulierten OSPF LSA type 1 Updates innerhalb der gesamten OSPF AS Domain”, heißt es von Cisco in dem Advisory. Für den Angriff müssten im Vorfeld aber einige Informationen bekannt sein, wie etwa das Network-Placement oder die IP-Adresse des angegriffenen Routers und unter anderem auch die Sequenz-Nummer der LSA Datenbank.

Die meisten Cisco-Geräte, die unter Cisco IOS, IOS-XE und NX-OS laufen und OSPF aktiviert haben, wie auch Adaptive Security Appliance (ASA), Cisco ASA Service Module (ASA-SM), Cisco Pix Firewall, Cisco Firewall Services Module (FWSM) und Carrier-Plattofrm Cisco ASR 5000 sind von dem Leck betroffen.

In dem Advisory listet Cisco sämtliche betroffene Produkte zusammen mit dem entsprechenden Fix in einer Tabelle. Des weiteren rät Cisco die OSPF Authentifizierung MD5 einzführen. Pakete ohne gültigen Key werden dann nicht weiter verarbeitet. Zusätzliche technische Informationen gibt es von Cisco in einem weiteren Dokument.