CERT-FI varoitus 10/2005

26.1.2005

Haavoittuvuuksia Cisco IOS -ohjelmistoissa

Cisco IOS -ohjelmistolla varustetuista verkkolaitteista on löydetty kolme palvelunestohaavoittuvuutta.

Ensimmäinen haavoittuvuuksista on BGP (Border Gateway Protocol) -protokollan käsittelyssä. Haavoittuvuutta voidaan hyväksikäyttää lähettämällä reitittimelle tietyllä tapaa muokattu BGP-paketti, mikä aiheuttaa uudelleen käynnistymisen. Toinen haavoittuvuuksista liittyy IPv6-pakettien käsittelyyn. Haavoittuvuutta voidaan hyväksikäyttää lähettämällä verkkolaitteelle tietyllä tapaa muokattuja IPv6 paketteja, mistä voi olla seurauksena laitteen uudelleen käynnistyminen. Kolmas haavoittuvuuksista liittyy MPLS (Multi Protocol Label Switching) -toiminnallisuuteen.

VAROITUKSEN KOHDERYHMÄ:

Ensimmäinen haavoittuvuus:

BGP-protokollaa tukevat Cisco IOS -käyttöjärjestelmällä varustetut reitittimet
Haavoittuvuuden hyväksikäyttö vaatii, että toiminto bgp log-neighbor-changes on käytössä. Toiminto on oletusarvoisesti aktivoitu IOS-versioissa 12.0(22)S, 12.0(11)ST, 12.1(10)E, 12.1(10) ja näitä myöhemissä versioissa.

Toinen haavoittuvuus:

Cisco IOS-käyttöjärjestelmällä varustetut verkkolaitteet, joissa on IPv6 konfiguroitu käyttöön

Kolmas haavoittuvuus:

MPLS-toiminnallisuutta tukevat Cisco IOS -käyttöjärjestelmät
Haavoittuvuuden hyväksikäyttö vaatii, ettei MPLS TE -toiminnallisuutta ole aktivoitu

Tarkemmat tiedot haavoittuvista verkkolaitteista ja IOS-versioista on saatavilla valmistajan julkaisemista turvatiedotteista.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva IOS-versio valmistajan ohjeiden mukaan.

Ensimmäiseltä haavoittuvuudelta voidaan suojautua myös poistamalla käytöstä bgp log-neighbor-changes -toiminto. Toiselta haavoittuvuudelta voidaan suojautua poistamalla verkkolaitteelta käytöstä IPv6-tuki. Kolmannelta haavoittuvuudelta voidaan puolestaan suojautua käyttöön ottamalla MPLS TE -toiminnallisuus.