VTP Bug in IOS Software

[sebastian.f]

Hallo,

ich habe heute Morgen von diesen heise Netze - Schwachstellen in Cisco-Switches ,
Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities
Bugs gelesen und Frage micht natürlich ob mein Netzwerk anfällig ist.

Problematisch ist dieser Bug doch eigentlich nur wenn ich viele Maschinen und Benutzer habe die auf das Management VLAN meiner Switches zugreifen dürfen oder?

Denn aus normalen VLANs werden VTP Pakete ja nicht verarbeitet, da der VLAN Traffik nur über das Management VLAN läuft.

Habe ich jetzt einen Denkfehler oder ist das so richtig?

Gruß
Sebastian

[Wordo]

vtp transparent .. dann biste fein raus

Hier is ne Beschreibung vom Bug:
FrSIRT Security Advisories - Cisco IOS Multiple VLAN Trunking Protocol Code Execution and DoS Vulnerabilities / Exploit

Weiss jetzt nicht was du mit dem Mngt VLAN meinst, aber es ist nur der Trunkport angreifbar, und auch nur aus dem eigenen Netz (hab ich zumindest noch so im Kopf aus dem Adv.)

[sebastian.f]

Naja ich hab ca. 40 Switches im Netz da is das mit transparent nicht grade so toll

Mit Managment VLAN meinte ich eigentlich das Default VLAN wenn jetzt keine Maschinen im Default habe dann kann mir ja auch keiner ein manipuliertes VTP Paket schicken das der Switch abarbeitet oder?
Weil er ja nur VTP Pakete abarbeitet die aus dem Default VLAN, bzw. von einem Trunk Port kommen.

[Wordo]

Also mit dem default VLAN bin ich mir jetzt unsicher. Eigentlich musst du am Trunkport sitzen. Da muss ich jetzt auch mal bisschen suchen ...

Schau mal hier:
http://www.phenoelit.de/stuff/CiscoVTP.txt

Die haben den Bug gefunden ..

[Blacky_24]

Das ist wohl wieder einer der "philosophischen" Bugs. Wenn man sich ein Konstrukt hinbastelt ...

Sicher, Telefonzellen sind überwiegend unsicher weil man problemlos mit nem Panzer drüber fahren kann.

Frei zugängliche Trunk-Ports sollte es in einem LAN üblicherweise nicht geben - und somit sollte der Exploit in einem Netz so nicht ausnutzbar sein. Üblicherweise hängen die Passwörter für die Switches auch nicht am schwarzen Brett, also kann sich ein User nicht mal schnell einen Trunkport basteln - und selbst wenn braucht er noch etwas an zusätzlichem Equipment (VLAN-fähige Netzwerkkarte und ein Programm mit dem er sich kapute VTP-Frames basteln kann).

Andererseits: Es ist "best practice", bekannte Exploits in seinem Netz zu verhindern, also das Update der Switches auf die ToDo-Liste schreiben.

Gruss
Markus

[sebastian.f]

Hallo,

habe jetzt nochmals gelesen und das Packet per pcap und Wireshark erstellt, und den Exploit in meiner Testumgebung getestet.
Es funnktioniert nur an einem Trunk Port und man muss die VLAN Domäne und das VTP Passwort kennen.

Wenn man Trunking auf normalen Access Ports grundsetzlich deaktiviert hat ist man nicht anfällig.
Das ist auch so aus den verschiedenen Exploit Beschreibungen ersichtlich.

Also alles nur halb so schlimm, wichtig ist CDP nur für bestimmte Ports zulassen und Trunking für Access Ports deaktivieren dann hat man keine Problem.