Bug in Cisco-Routern ermöglicht DoS-Angriff

Cisco hat vor einem schwer wiegenden Software-Fehler in einer Vielzahl seiner Router-Modelle gewarnt. Betroffen sind praktisch alle Geräte des Herstellers, die unter IOS laufen und Datenpakete via IPv4 akzeptieren und damit Ziel von Denial-of-Service-Angriffen (DoS) werden könnten.

Nach Angaben von Cisco kann eine spezielle Sequenz von IPv4-Datenpaketen einen Router mit der fehlerhaften IOS-Version dazu bringen, die Verarbeitung von Datenverkehr zu stoppen. Die Input-Queues angegriffener Geräte-Schnittstellen könnten demnach fälschlicherweise als "voll" ausgewiesen werden. Beispielsweise würde eine Ethernet-Schnittstelle, die Netzwerk-Verkehr verarbeitet, in diesem Fall eintreffenden Datenverkehr ablehnen.

Laut Cisco könne eine solche Sequenz direkt an ein Gerät geschickt werden, ohne dabei eine Authentifizierung zu erfordern. Wegen fehlender Warnmechanismen oder einem ausbleibenden automatischen Neustarts des Routers könne der Datenverkehr praktisch "geräuschlos" lahmgelegt werden, so der Hersteller.

Verschiedene Sicherheitsfirmen, darunter Internet Security Systems (ISS) sowie das CERT/CC, haben separate Warnungen zum Sicherheitsfehler veröffentlicht und darauf hingewiesen, den von Cisco bereitgestellten Patch zu installieren.

Keynote Systems, das Antwort-Geschwindigkeiten von Servern weltweit misst, hat nach eigenen Angaben lediglich geringe Performance-Einbrüche des Netzes beobachtet, die allerdings auf die Installation des Patches zurückgeführt wurden. Trotzdem wies das Unternehmen auf eine "signifikante Bedrohung" durch den Fehler hin: "Wenn erst einmal Code, der diesen Fehler ausnützt, seine Kreise zieht, dann haben wir ein Problem", sagte Lloyd Taylor, Vice President und Technikchef von Keynote im Gespräch mit tecCHANNEL. So gebe es bereits mindestens ein Tool, das die Cisco-Router erfolgreich angreifen kann.

Dass der Schaden zumindest in den USA ausgeblieben ist, führt Taylor auf die Informationspolitik von Cisco zurück: "Cisco hat alle Backbone-Betreiber vom Fehler unterrichtet, bevor das Thema publik wurde." Allerdings seien "zweitrangige Ziele", wie etwa Breitband-Provider in Asien und Europa schon wegen des Zeitunterschieds mit dem Installieren des Patches nicht in gleichem Maße informiert worden. "Es wird sicher interessant zu sehen, welche Teile des Internets von Angreifern getroffen werden", sagte Taylor.

Auch ISS geht davon aus, dass es zu gewissen Schäden kommen wird. Vor allem mittlere und kleinere Unternehmen würden längere Zeit brauchen, möglicherweise hunderte oder tausende von IOS-Geräten zu patchen. Dan Ingevaldson, Engineering Director bei ISS, glaubt zudem, dass wegen der Vielzahl von Patches für die verschiedenen Versionen von IOS Verwirrung unter den Kunden von Cisco entstehen werde. Außerdem sei zumindest einer der Patches fehlerhaft und würde Probleme nach seiner Installation verursachen. Laut Cisco sind in diesem Fall eine Reihe von Workarounds möglich. (wgr/uba)