DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1848: Cisco FXOS und NX-OS Software: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie

Version 1 (2017-10-19 15:58)
Neues Advisory
Version 2 (2017-11-02 14:28)
Cisco hat seinen Sicherheitshinweis aktualisiert und nennt nun für Nexus 3000 Series und Nexus 9000 Series Switches die Version 7.0(3)I6(1) als 'First Fixed Release'.
Version 3 (2017-11-06 11:38)
Cisco hat seinen Sicherheitshinweis erneut aktualisiert und weist darauf hin, dass diese Schwachstelle unabhängig von den verwendeten Software-Releases der Cisco NX-OX Plattform besteht und dass das 'Login Block-for CLI'-Kommando konfiguriert sein muss. Dieses funktioniert allerdings auf den Cisco NX-OS Plattformen Nexus 2000 Series Switches, Nexus 3500 Platform Switches, Nexus 5000 Series Switches, Nexus 5500 / 5600 Platform Switches, Nexus 6000 / 7000 / 7700 Series Switches nicht wie gewünscht, weshalb für diese Plattformen empfohlen wird, nicht das 'Login Block-for CLI'-Kommando zu konfigurieren, sondern stattdessen die in dem Sicherheitshinweis beschriebenen Workarounds zu befolgen bis gefixte Software Versionen verfügbar sind. Das 'Login Block-for'-Kommando arbeitet auf den empfohlenen ersten gefixten Releases für die Cisco NX-OS Plattformen Multilayer Director Switches und Nexus 9500 R-Series Line Cards and Fabric Modules ebenfalls nicht wie erwartet.
Version 4 (2017-11-10 10:38)
Cisco weist darauf hin, dass auch Nexus 3600 Platform Switches von der Schwachstelle betroffen sind. Für einige Plattformen ohne die aktuellen Fixes werden gefixte Versionen für November 2017 (Cisco Nexus 3500, Cisco Nexus 7000 und 7700 mit Versionen 6.2 und 7.3), für Januar 2018 (Cisco Nexus 7000 und 7700 mit Version 8.1), für März 2018 (Cisco Nexus 7000 und 7700 mit Version 7.2, die nicht auf 7.3 migrieren können, und mit Version 8.0) und für April 2018 (Cisco Nexus 2000, 5500, 5600, 6000 mit allen Softwareversionen sowie Cisco Nexus 7000 und 7700 mit Version 8.2) angekündigt.

Betroffene Software

Cisco Firepower eXtensible Operating System (FXOS) <= 2.3
Cisco Firepower eXtensible Operating System (FXOS) < 2.3.1
MDS 9000 NX-OS 5.2
MDS 9000 NX-OS 6.2
MDS 9000 NX-OS 6.3
MDS 9000 NX-OS 7.3
MDS 9000 NX-OS < 7.3(1)DY(1)
Cisco NX-OS <= 2.2
Cisco NX-OS < 2.2(6c)
Cisco NX-OS 3.0
Cisco NX-OS 3.1
Cisco NX-OS < 3.1(2b)
Cisco NX-OS <= 4.2
Cisco NX-OS <= 5.2
Cisco NX-OS <= 6.0
Cisco NX-OS < 6.0(2)A8(3)
Cisco NX-OS < 6.0(2)U6(7)
Cisco NX-OS 6.1
Cisco NX-OS 6.2
Cisco NX-OS < 6.2(16)
Cisco NX-OS 7.0
Cisco NX-OS < 7.0(3)F2(1)
Cisco NX-OS < 7.0(3)I2(2a)
Cisco NX-OS < 7.0(3)I6(1)
Cisco NX-OS 7.1
Cisco NX-OS 7.2
Cisco NX-OS < 7.2(0)N1(1)
Cisco NX-OS < 7.2(2)D1(1)
Cisco NX-OS 7.3
Cisco NX-OS < 7.3(0)D1(1)
Cisco NX-OS < 7.3(0)N1(1)
Cisco NX-OS < 7.3.0DX(1)

Betroffene Plattformen

Cisco Firepower 4100 Series
Cisco Firepower 9300 Series
Cisco Multilayer Director Switches
Cisco Nexus 5500 Platform Switches
Cisco Nexus 5600 Platform Switches
Cisco Nexus 1000V
Cisco Nexus 1100 Series Cloud Services Platforms
Cisco Nexus 2000
Cisco Nexus 3000
Cisco Nexus 3500
Cisco Nexus 3600
Cisco Nexus 5000
Cisco Nexus 6000
Cisco Nexus 7000
Cisco Nexus 9000
Cisco Nexus 9500 R
Cisco Unified Computing System (UCS) 6100 Series Fabric Interconnects
Cisco Unified Computing System (UCS) 6200 Series Fabric Interconnects
Cisco Unified Computing System (UCS) 6300 Series Fabric Interconnects

Lösung

Patch

Cisco Security Advisory cisco-sa-20171018-aaavty (CVE-2017-3883)

Beschreibung

Eine Schwachstelle in der Cisco Firepower Extensible Operating System (FXOS) und NX-OS System Software ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs gegen Geräte mit verwundbaren Versionen der Software.

Cisco bestätigt die Schwachstelle für folgende Cisco Produkte, falls auf diesen Cisco FXOS oder NX-OS System Software verwendet wird und 'Authentication, Authorization and Accounting' (AAA)-Dienste konfiguriert sind: Firepower 4100 Series Next-Generation Firewall, Firepower 9300 Security Appliance, Multilayer Director Switches, Nexus 1000V Series Switches, Nexus 1100 Series Cloud Services Platforms, Nexus 2000, 3000, 3500, 5000, 5500, 5600, 6000, 7000 und 7700 Series Switches, Nexus 9000 Series Switches in NX-OS mode, Nexus 9500 R-Series Line Cards and Fabric Modules sowie Cisco Unified Computing System (UCS) 6100, 6200 und 6300 Series Fabric Interconnects.

Ferner stellt Cisco für jedes der Produkte Informationen zu betroffenen, ersten fehlerbereinigten Versionen und Hinweise wie festgestellt werden kann, welche Version auf einem Gerät installiert ist, zur Verfügung. Cisco Firepower Extensible Operating System (FXOS) 2.3.1 wird als zukünftiges Sicherheitsupdate angekündigt.

Schwachstellen

CVE-2017-3883: Schwachstelle in Cisco FXOS und NX-OS Software ermöglicht Denial-of-Service-Angriff

In der Implementierung von 'Authentication, Authorization and Accounting' (AAA) der Cisco Firepower Extensible Operating System (FXOS) und NX-OS System Software existiert eine Schwachstelle, weil die AAA-Prozesse den NX-OS System Manager daran hindern 'keepalive'-Nachrichten zu empfangen, wenn ein betroffenes Gerät eine hohe Rate von Login-Versuchen erhält, wie etwa bei einem Brute-Force-Login-Angriff. Der Systemspeicher auf FXOS-Geräten kann unter denselben Bedingungen knapp werden, wodurch der AAA-Prozess unerwartet neu starten oder das Gerät neu geladen werden kann. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er einen Brute-Force-Login-Angriff gegen ein Gerät durchführt, welches mit AAA Security Services konfiguriert ist.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.