0x1b - ESCAPE
HTML PDF Postscript
 Cisco's IOS 
Computer Geschrieben von Beat Rubischon am Samstag, 30. Juli 2005, 00:38
aus dem patch-patch-patch dept.

An der diesjährigen Blackhat Konferenz veröffentlichte Michael Lynn einige Sicherheitslücken in Cisco's IOS. Damit ist die Motivation da, meinem Cisco ein neues IOS zu verpassen. Jetzt, gute vier Stunden später, bin ich doch etwas ernüchtert.

Die ganze Präsentation verlief nicht ganz nach Plan: Cisco war gar nicht damit einverstanden, dass sich jemand mit der Präsentation von Einbruchswerkzeugen um die Sicherheit ihrer Geräte kümmert. Sehr lesenswert dazu ist der Artikel auf Heise Security.

Aktueller Stand ist die Tatsache, dass mit speziellen IPv6 Paketen Cisco-Router gecrasht, allenfalls aber auch beliebiger Code ausgeführt werden kann. Es gibt Leute, die wissen, wie man das macht - doch ist dieses Wissen noch sehr dünn gestreut und steht beispielsweise mir noch nicht zur Verfügung. Dass Ciscos gerootet werden können ist schon länger Diskussionspunkt unter anderem in Phrack.

Nachdem ich mir heute endlich einen privilegierten Login bei Cisco besorgt hatte, startete ich das fröhliche Upgraden. Von den IOS-Versionen, die einerseits meine Features supporten (IPv6, DMZ-Port), andererseits auf meinem Cisco laufen (836 mit 48MB RAM und 12MB Flash) gibt es gerade zwei Versionen, die nicht von diesem Bug betroffen sind: 12.3(8)YA1 und 12.3(8)YG2.

Beide Versionen haben aber die Unschönheit, auf dem ISDN-Interface einen permanenten Layer 2 zu erwarten (Kein Tippfehler - ich meine Layer 2 und nicht Layer 1). Die Swisscom schaltet den auch auf, aber nicht für Privat-, sondern nur für Geschäftskunden. Diese Tatsache zu erfahren hatte mir im Frühjahr bereits einige graue Haare und viele Stunden Telefonieren gekostet.

Damit wäre ich wieder bei meinem 12.3(7)XR3. Der einzige IOS-Release, der alle meine gewünschten Features unterstützt und sich an einem Swisscom-ISDN betreiben lässt. Ich hoffe, möglichst bald mehr über das Problem zu erfahren, um abschätzen zu können, wie weit ich gefährdet bin und ob es allenfalls einen Workaround gibt. Allenfalls habe ich Glück und der für andere Routermodelle vorhandene 12.3(7)XR4 wird noch auf den 836 portiert.

Ich finde es immer wieder hässlich, wenn man als kleiner User Spielball zwischen Grosskonzernen wird: Einerseits der Swisscom, die keinerlei Flexibilität in dieser Situation zeigt und andererseits Cisco, die in einem Punktrelease inkompatible Aenderungen an ihrer Software vornimmt. So gehe ich jetzt - wenn auch etwas frustiert - am Ende unseres Festtages in's Bett.

Permalink

Das Kleingedruckte: Der Besitzer der folgenden Kommentare ist wer immer sie eingeschickt hat. Wir sind in keiner Weise für sie verantwortlich.

  • beat@0x1b.ch Re: Cisco's IOS
    Geschrieben von Beat Rubischon am Samstag, 30. Juli 2005, 14:42

    Larry Blumenthal war so freundlich und hat die Präsentation von Michael Lynn auf Full Disclosure veröffentlicht.

    Mit den vorhandenen Infos wird ein Script Kiddie (noch) nicht viel anfangen können und ich habe Mühe damit, Cisco's Gegenwehr zu verstehen. Aber vielleicht gehört das dazu, um aus Cisco eine Firma zu machen, die Security ernst nimmt und den Benutzern vernünftige Upgrade Pfade anbietet? Microsoft brauchte schliesslich auch ein paar Jahre um auf den heutigen Stand von XP SP2 zu kommen, der in meinen Augen durchaus akzeptabel ist.

    Auf alle Fälle bin ich derzeit dabei, mittels expect etwas zu schrauben, um das BRI des Routers nach einem Call zu resetten. Im Falle eines Erfolges mehr an dieser Stelle!

  • beat@0x1b.ch Re: Cisco's IOS
    Geschrieben von Beat Rubischon am Freitag, 5. August 2005, 18:06

    Wired hat ein Interview mit Mike Lynn, welches sehr lesenswert ist. Dank an die Swinoger für den Link!