Was Sie über den neuesten Router-Patch von Cisco wissen müssen

Vor nicht allzu langer Zeit hat der IT-Riese eine kritische Sicherheitslücke im ASR 9000-System angekündigt. Unter dem Strich erklären wir, was der Fehler ausmacht und wie er behoben werden kann.


Foto - ulleo - PD

Die Sicherheitsanfälligkeit wurde in Routern der ASR 9000-Serie entdeckt, auf denen 64-Bit-IOS XR ausgeführt wird. Hierbei handelt es sich um High-End-Geräte für Rechenzentren von Telekommunikationsunternehmen und Mobilfunkbetreibern mit einer Kapazität von 400 Gbit / s pro Steckplatz und Unterstützung von 40G / 80G-Leitungskarten.

Sicherheitslücken haben die Kennung CVE-2019-1710 zugewiesen . Sie erzielte 9,8 von 10 Punkten auf einer CVSS-Skala.

Dieser Standard wurde von einer Gruppe von Experten für Informationssicherheit aus Unternehmen wie Microsoft, Cisco, CERT und IBM entwickelt, um die Gefahr von Fehlern zu bewerten.

Warum ist sie gefährlich?

Der Fehler bietet Angreifern die Möglichkeit, unbefugten Zugriff auf Systemanwendungen auf der virtuellen Maschine des Administrators zu erhalten. Hacker können bösartigen Code aus der Ferne ausführen und DoS-Angriffe ausführen. Laut den Ingenieuren von Cisco liegt das Problem in der falschen Isolierung der sekundären Verwaltungsschnittstelle (MGT LAN 1 auf dem Route Switch-Prozessor - RSP) von den internen Administratoranwendungen. Ein Angreifer kann die Sicherheitsanfälligkeit ausnutzen, indem er eine Verbindung zu einem von ihnen herstellt.

Um festzustellen, ob auf Ihrem System ein Problem vorliegt, müssen Sie sich bei der virtuellen Maschine sysadmin anmelden und den Befehl show interface in die Konsole eingeben. Wenn die sekundäre Schnittstelle verbunden ist (wie in der Antwort unten), ist der Router anfällig.

sysadmin-vm:0_RSP1:eXR# show interface Tue Mar 19 19:32:00.839 UTC MgmtEth0/RSP1/0/0 Link encap: Ethernet HWaddr 08:96:ad:22:7a:31 inet addr: 192.168.0.1 UP RUNNING BROADCAST MULTICAST MTU:1500 Metric:1 RX packets: 14093 errors:0 dropped:1 overruns:0 frame:0 TX packets: 49 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: 867463 TX bytes: 6889 sysadmin-vm:0_RSP1:eXR# 

Cisco-Experten sagen, dass nur die ASR 9000-Plattform anfällig ist. Andere Unternehmenslösungen mit Cisco IOS-XR 64-Bit sind stabil. Gleichzeitig hat das Unternehmen noch keine Versuche aufgezeichnet, einen Hackerangriff mit CVE-2019-1710 durchzuführen.

Wie man es schließt

Cisco hat einen Patch veröffentlicht, der CVE-2019-1710 als Teil der IOS XR-Versionen 6.5.3 und 7.0.1 behebt. Das Update ist für alle Organisationen mit einer aktuellen Lizenz für das Betriebssystem (und diejenigen, die es früher gekauft haben) kostenlos verfügbar.

Es gibt eine alternative Option: Sie können auf eine Problemumgehung zurückgreifen, die die Sicherheitsanfälligkeit vollständig beseitigt. Zuerst müssen Sie eine Verbindung zur virtuellen Administratormaschine herstellen:

 RP/0/RSP1/CPU0:eXR#admin Tue Mar 12 22:46:37.110 UTC root connected from 127.0.0.1 using console on host 

Führen Sie dann Bash aus und bearbeiten Sie die Konfigurationsdatei calvados_bootstrap.cfg:

 sysadmin-vm:0_RSP1:eXR# run bash Tue Mar 12 22:46:44.224 UTC bash-4.3# vi /etc/init.d/calvados_bootstrap.cfg 

In den nächsten beiden Zeilen müssen Sie das # -Zeichen entfernen und die Datei speichern.

 #CTRL_VRF=0 #MGMT_VRF=2 

Wenn die Lösung über zwei RSP-Systeme verfügt, muss # in der Konfiguration jedes dieser Systeme entfernt werden. Starten Sie dann einfach die virtuelle Maschine neu:

 sysadmin-vm:0_RSP1:eXR# reload admin location 0/RSP1 Tue Mar 12 22:49:28.589 UTC Reload node ? [no,yes] yes result Admin VM graceful reload request on 0/RSP1 succeeded. sysadmin-vm:0_RSP1:eXR# RP/0/RSP1/CPU0:Mar 12 22:49:34.059 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :DECLARE :0/RSP1/CPU0: Confd is down RP/0/RSP1/CPU0:eXR# 

Sie muss die folgende Nachricht zurückgeben:

 RP/0/RSP1/CPU0:eXR#0/RSP1/ADMIN0:Mar 12 22:59:30.220 UTC: envmon[3680]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :Power Module redundancy lost :DECLARE :0: RP/0/RSP1/CPU0:Mar 12 22:59:33.708 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :CLEAR :0/RSP1/CPU0: 

Was noch gepatcht

Parallel zum Patch für CVE-2019-1710 hat der IT-Riese zwanzig weitere Patches für weniger kritische Sicherheitslücken veröffentlicht. Es enthielt sechs Fehler im IAPP (Inter-Access Point Protocol) sowie in der Schnittstelle WLC (Wireless LAN Controller) und Cisco VCS Expressway.

Die Liste der Produkte mit Patches umfasst: Blade-Server der UCS B-Serie, Cisco Umbrella, DNA Center, registrierten Umschlagdienst, Directory Connector, Prime Network Registrar usw. Eine vollständige Liste finden Sie auf der offiziellen Website .


Fotos - Mel Clark - PD

Ebenfalls Anfang Mai schlossen die Entwickler des Unternehmens eine weitere Sicherheitslücke, ASR 9000 und Cisco IOS XR. Es ist mit der PIM-Funktion (Protocol Independent Multicast) verbunden, die das Problem des Multicast-Routings löst. Ein Fehler (er erhielt die Kennung CVE-2019-1712 ) ermöglicht es einem Angreifer, einen PIM-Prozess remote neu zu starten und einen DoS-Angriff durchzuführen.

Darüber hinaus haben die Entwickler eine Reihe von Warnungen zu zuvor behobenen Sicherheitslücken veröffentlicht. Laut Experten für Informationssicherheit werden einige von ihnen von der Sea Turtle-Hacker-Gruppe für ihre DNS-Angriffe verwendet. Die Ingenieure versprachen, die Situation zu überwachen und neue Updates zu veröffentlichen.

---

ITGLOBAL.COM ist ein Anbieter von privaten und hybriden Clouds sowie anderen Diensten zur Entwicklung der IT-Infrastruktur unserer Kunden. Worüber wir in einem Unternehmensblog schreiben:

• So schützen Sie Ihr Unternehmen vor Ransomware-Trojanern
• Warum sollte ein Kunde eines Cloud-Anbieters über die Zuverlässigkeit des Rechenzentrums Bescheid wissen?
• Vitaliy Gritsay: zur internationalen Entwicklungsstrategie ITGLOBAL.COM
• So schützen Sie sich im Cloud-Anbieter vor DDoS
• NetApp AFF A300 Storage: Technische Daten und Innenansicht