[Cisco/WLC] Schwachstelle in Ciscos Wireless LAN Controllers
RUS-CERT (Oliver Goebel)
(2007-07-26 10:45:33.513829+02)
Quelle: http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtm
l
Mehrere Schwachstellen in den Routinen zur Verarbeitung von
ARP-Requests verschiedener Cisco WLAN Controllers (WLC) können von
einem Angreifer dazu ausgenutzt werden, das System in einen
unbenutzbaren Zustand zu versetzen.
Betroffene Systeme
* Cisco Serie 4100 Wireless LAN Controllers
* Cisco Serie 4400 Wireless LAN Controllers
* Cisco Airespace Serie 4000 Wireless LAN Controller
* Cisco Catalyst Serie 6500 Wireless Services Module (WiSM)
* Cisco Catalyst Serie 3750 Integrated Wireless LAN Controllers
Nicht betroffene Systeme
* Cisco Serie 2000 Wireless LAN Controllers
* Cisco Serie 2100 Wireless LAN Controllers
* Cisco Airespace Serie 3500 WLAN Controller
* Cisco 526 Wireless Express Mobility Controller
* Cisco Wireless LAN Controller Module
(NM-AIR-WLC6-K9,NME-AIR-WLC8-K9,NME-AIR-WLC12-K9)
* Standalone Access Points der Serien 1100, 1200 and AP340/350
* Cisco Serie 3800 Integrated Services Routers
* Cisco Serie 2800 Integrated Services Routers
* Cisco Serie 1800 Integrated Services Routers
* Cisco Serie 800 Routers
Einfallstor
ARP-Requests
Angriffsvoraussetzung
WLAN-fähiges System in Reichweite eines betroffenen Systems
Angriffsvektorklasse
über eine Funknetzwerkverbindung
(remote)
Auswirkung
Versetzen des betroffenen Systems, bzw. Netzes in einen unbenutzbaren
Zustand
(denial of service)
Gefahrenpotential
mittel
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Beschreibung
Mehrere Schwachstellen in der Betriebssoftware der o.b. Modelle der
Cisco Wireless LAN Controllers können von einem Angreifer dazu
ausgenutzt werden, durch das Senden von (Unicast-)[2]ARP-Requests an
ein betroffenes System, einen ARP-Sturm im angeschlossenen
[3]OSI-Schicht 2-Netz auszulösen, sofern in diesem weitere betroffene
WLCs vorhanden sind, und es so einen unbenutzbaren Zustand versetzen.
* CSCsj50374:
Wenn en Client einen ARP-Request an einen betroffenen WLC sendet,
der eine dem WLC noch nicht bekannte Hardware-Adresse
([4]MAC-Adresse) enthält, wird dieser Request von diesem an alle
Ports im angeschlossenen OSI-Schicht-2-Netzwerk weitergeleitet.
Weitere angeschlossene WLCs verabeiten dieses Paket und leiten es
wieder an alle Ports weiter. So entsteht eine Schleife, die in der
Folge das Netzwerk mit diesem ARP-Request überflutet und es in
einen unbenutzbaren Zustand versetzt.
* CSCsj69233:
Sofern auf einem betroffenen WLC die arpunicast-Option aktiviert
ist, sendet dieser reguläre ARP-Broadcast-Pakete erneut in das
angeschlossene OSI-Schicht-2-Netzwerk. Sofern mindestens ein
weiterer WLC an dieses Netzwerk angeschlossen ist, führt dies zu
einer Schleife, die in der Folge das Netzwerk mit diesem
ARP-Broadcast-Paket überflutet und es in einen unbenutzbaren
Zustand versetzt.
* CSCsj70841:
In einem [5]OSI-Schicht-3 [6]Roaming-Szenario, in dem ein Client
unter Beibehaltung der zugewiesenen IP-Adresse den Funkbereich
eines WLC velässt und nun von einem anderen WLC versorgt wird, der
einem anderen IP-Subnetz angehört, kann ein ARP-Request des Clients
nicht mehr zum ursprünglichen WLC getunnelt werden.
Workaround
* CSCsj69233:
[7]Abschaltung der arpunicast-Option
Weitere Workarounds sind nicht bekannt.
Gegenmaßnahmen
* Installation der durch Cisco bereitgestellten [8]korrigierten
Softwareversionen sobald diese verfügbar sind
Vulnerability ID
* [9]CSCsj69233 (nur für registrierte Cisco-Kunden zugreifbar)
* [10]CSCsj50374 (nur für registrierte Cisco-Kunden zugreifbar)
* [11]CSCsj70841 (nur für registrierte Cisco-Kunden zugreifbar)
* bislang wurden noch keine CVE-Namen vergeben
Aktuelle Version dieses Artikels
[12]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1399
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2007 RUS-CERT, Universität Stuttgart,
[13]http://CERT.Uni-Stuttgart.DE/
References
1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://de.wikipedia.org/wiki/Address_Resolution_Protocol
3. http://de.wikipedia.org/wiki/OSI-Modell#Schicht_2_.E2.80.93_Sicherungsschicht
4. http://de.wikipedia.org/wiki/MAC-Adresse
5. http://de.wikipedia.org/wiki/OSI-Modell#Schicht_3_.E2.80.93_Vermittlungsschicht
6. http://de.wikipedia.org/wiki/Roaming
7. http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml#workarounds
8. http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml#fixes
9. http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsj69233
10. http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsj50374
11. http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsj70841
12. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1399
13. http://CERT.Uni-Stuttgart.DE/
----------------------------------------------------------------------
Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Aut...@Lists.CERT.Uni-Stuttgart.DE