CDPwn: Fehler in Cisco-Protokoll ermöglicht Codeausführung

Mehrere Sicherheitslücken in Cisco-Geräten ermöglichen es Angreifern, im Netzwerk Schadcode auszuführen. Die Lücke betrifft wohl Millionen von Geräten und könnte in Verbindung mit weiteren Lücken gravierende Folgen haben.

Artikel veröffentlicht am ,
Cisco hat Lücken in seinen Geräten geschlossen.
Cisco hat Lücken in seinen Geräten geschlossen. (Bild: GABRIEL BOUYS/AFP via Getty Images)

Der Netzwerkausrüster Cisco hat eine Reihe von Updates für zahlreiche unterschiedliche Geräteklassen veröffentlicht, die mehrere Sicherheitslücken schließen. Bei einem erfolgreichen Ausnutzen der Fehler könnten Angreifer Schadcode auf den Geräten ausführen. Das ist aber immerhin nicht ohne weiteres möglich, sondern nur unter bestimmten Voraussetzungen.

Stellenmarkt
  1. IT Service Owner (m/f/x) MakerSpace
    UnternehmerTUM GmbH, Garching
  2. Technischer Projektleiter (m/w/d) für Komfortelektronik
    KOSTAL Automobil Elektrik GmbH & Co. KG, Dortmund
Detailsuche

Die Sicherheitslücken stehen im Zusammenhang mit dem Cisco Discovery Protocol (CDP). Dabei handelt es sich um ein von Cisco selbst erstelltes Layer-2-Protokoll, über das sich verschiedene Geräte des Herstellers im Netzwerk gegenseitig finden können, um eine direkte Kommunikation zu ermöglichen. Das Unternehmen Armis, das die Sicherheitslücken fand, nennt dies CDPwn.

Einem Bericht des Cert zufolge handelt es sich bei den Lücken konkret um einen Heap Overflow in Cisco IP Cameras (CVE-2020-3110), einen Stack Overflow in Cisco VoIP-Geräten (CVE-2020-3111) sowie einen Format String Stack Overflow (CVE-2020-3118), einen Stack Overflow und beliebigen Schreibzugriff (CVE-2020-3119) sowie einen Denial-of-Service (CVE-2020-3120) in NX-OS-Switches und IOS XR Routern. Die genannten Fehler treten alle bei der Verarbeitung von CDP auf.

Wie erwähnt lässt sich darüber unter Umständen Code auf den betroffenen Geräten ausführen. Dafür müssen sich Angreifer jedoch bereits im gleichen Netzwerk befinden (Layer-2-Adjecent) wie die angegriffenen Geräte. Das könnte über weitere Lücken in den Switches oder Routern möglich sein und hätte etwa zur Folge, dass die von Admins eigentlich umgesetzte Netzwerkisolierung überwunden werden könnte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  2. Cyberkriminalität: Jeder vierte Jugendliche ist ein Internettroll
    Cyberkriminalität
    Jeder vierte Jugendliche ist ein Internettroll

    Einer Umfrage zufolge ist bedenkliches bis illegales Verhalten von Jugendlichen im Internet zur Normalität geworden. In Deutschland ist der Anteil sehr hoch.

  3. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /