• IT-Karriere:
  • Services:

CDPwn: Fehler in Cisco-Protokoll ermöglicht Codeausführung

Mehrere Sicherheitslücken in Cisco-Geräten ermöglichen es Angreifern, im Netzwerk Schadcode auszuführen. Die Lücke betrifft wohl Millionen von Geräten und könnte in Verbindung mit weiteren Lücken gravierende Folgen haben.

Artikel veröffentlicht am ,
Cisco hat Lücken in seinen Geräten geschlossen.
Cisco hat Lücken in seinen Geräten geschlossen. (Bild: GABRIEL BOUYS/AFP via Getty Images)

Der Netzwerkausrüster Cisco hat eine Reihe von Updates für zahlreiche unterschiedliche Geräteklassen veröffentlicht, die mehrere Sicherheitslücken schließen. Bei einem erfolgreichen Ausnutzen der Fehler könnten Angreifer Schadcode auf den Geräten ausführen. Das ist aber immerhin nicht ohne weiteres möglich, sondern nur unter bestimmten Voraussetzungen.

Stellenmarkt
  1. Equip GmbH, Wien (Österreich)
  2. STRABAG BRVZ GMBH & CO.KG, Stuttgart, Köln

Die Sicherheitslücken stehen im Zusammenhang mit dem Cisco Discovery Protocol (CDP). Dabei handelt es sich um ein von Cisco selbst erstelltes Layer-2-Protokoll, über das sich verschiedene Geräte des Herstellers im Netzwerk gegenseitig finden können, um eine direkte Kommunikation zu ermöglichen. Das Unternehmen Armis, das die Sicherheitslücken fand, nennt dies CDPwn.

Einem Bericht des Cert zufolge handelt es sich bei den Lücken konkret um einen Heap Overflow in Cisco IP Cameras (CVE-2020-3110), einen Stack Overflow in Cisco VoIP-Geräten (CVE-2020-3111) sowie einen Format String Stack Overflow (CVE-2020-3118), einen Stack Overflow und beliebigen Schreibzugriff (CVE-2020-3119) sowie einen Denial-of-Service (CVE-2020-3120) in NX-OS-Switches und IOS XR Routern. Die genannten Fehler treten alle bei der Verarbeitung von CDP auf.

Wie erwähnt lässt sich darüber unter Umständen Code auf den betroffenen Geräten ausführen. Dafür müssen sich Angreifer jedoch bereits im gleichen Netzwerk befinden (Layer-2-Adjecent) wie die angegriffenen Geräte. Das könnte über weitere Lücken in den Switches oder Routern möglich sein und hätte etwa zur Folge, dass die von Admins eigentlich umgesetzte Netzwerkisolierung überwunden werden könnte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-82%) 3,50€
  2. (-44%) 13,99€
  3. 29,99€
  4. (-27%) 14,50€

Profi_in_allem 08. Feb 2020

... um genau solche Lücken auszuschließen. Dann mal viel Spaß beim Updaten der Firmware...

specialsymbol 07. Feb 2020

Moooment! Das ist nur ein Fehler, schließlich ist es ein amerikanisches Unternehmen. Bei...


Folgen Sie uns
       


Golem.de baut das Makerphone zusammen (Zeitraffer)

Das Makerphone ist ein Handy zum Zusammenbauen. Kinder wie auch Erwachsene können so die Funktionsweise eines Mobiltelefons nachvollziehen.

Golem.de baut das Makerphone zusammen (Zeitraffer) Video aufrufen
Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann


    UX-Designer: Computer sind soziale Akteure
    UX-Designer
    "Computer sind soziale Akteure"

    User Experience Designer schaffen positive Erlebnisse, wenn Nutzer IT-Produkte verwenden. Der Job erfordert Liebe zum Detail und den Blick fürs große Ganze.
    Ein Porträt von Louisa Schmidt

    1. Coronapandemie Viele IT-Freelancer erwarten schlechtere Auftragslage
    2. IT-Fachkräftemangel Es müssen nicht immer Informatiker sein
    3. Jobporträt IT-Produktmanager Der Alleversteher

    Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
    Golem on Edge
    Wo Nachbarn alles teilen - auch das Internet

    Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
    Eine Kolumne von Sebastian Grüner

    1. Anzeige Die voll digitalisierte Kaserne der Zukunft
    2. Keine Glasfaser, keine IT-Kompetenz Schulen bemühen sich vergeblich um Geld aus dem Digitalpakt
    3. Kultusministerien Schulen rufen kaum Geld aus Digitalpakt ab

      •  /