Über das Leck in der Cisco-Implementierung des Protokolls Open Shortest Path First (OSPF) ist es möglich, Netzwerkverkehr auszuspähen. Betroffen sind zahlreiche Cisco-Netzwerkkomponenten die dieses Routing-Protokoll unter IOS und anderen Cisco-Systemen verwenden. Auch die Link State Advertisement (LSA)-Datenbank ist von dem Fehler betroffen, warnt Cisco in einem Advisory.

OSPF wird vor allem in großen Unternehmensnetzen eingesetzt. Das Protokoll sammelt die Verbindungsdaten von verfügbaren Routern und schreibt diese in eine Datenbank. Aus diesen Informationen erstellt das Protokoll dann automatisch eine Netzwerktopologie innerhalb des Autonomous Systems (AS), die dann den die Pfade für IP-Traffic im Netzwerk optimiert. Internet Service Provider wie auch große Unternehmen nutzen diese Technolgie für die Traffic-Optimierung.

Über das Leck können Angreifer vollständig die Kontrolle über die OSPF Autonomous System Domain Routing Table übernehmen und damit Traffic abfangen oder löschen. Um den Fehler auszunutzen, reiche es laut Cisco-Advisoriy, manipulierte OSPF LSA Type 1 Pakete an ein verwundbares Gerät zu schicken. Der Angreifer muss dafür nicht am System angemeldet sein. Andere Paket-Typen hingegen seien für den Angriff nicht geeignet. Ebenfalls nicht verwundbar sind OSPFv3 sowie das Protokoll Fabric Shortest Path First (FSPF).

“Ein erfolgreicher Angriff kann das Löschen der Routing-Tabelle in einem angegriffenen Router zur Folge haben und auch die Weiterverbreitung des manipulierten OSPF LSA type 1 Updates innerhalb der gesamten OSPF AS Domain”, heißt es von Cisco in dem Advisory. Für den Angriff müssten im Vorfeld aber einige Informationen bekannt sein, wie etwa das Network-Placement oder die IP-Adresse des angegriffenen Routers und unter anderem auch die Sequenz-Nummer der LSA Datenbank.

Die meisten Cisco-Geräte, die unter Cisco IOS, IOS-XE und NX-OS laufen und OSPF aktiviert haben, wie auch Adaptive Security Appliance (ASA), Cisco ASA Service Module (ASA-SM), Cisco Pix Firewall, Cisco Firewall Services Module (FWSM) und Carrier-Plattofrm Cisco ASR 5000 sind von dem Leck betroffen.

In dem Advisory listet Cisco sämtliche betroffene Produkte zusammen mit dem entsprechenden Fix in einer Tabelle. Des weiteren rät Cisco die OSPF Authentifizierung MD5 einzführen. Pakete ohne gültigen Key werden dann nicht weiter verarbeitet. Zusätzliche technische Informationen gibt es von Cisco in einem weiteren Dokument.

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

3 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

4 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago