Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 11 (19.04.2017):
Juniper Networks aktualisiert die referenzierte Sicherheitsmeldung in
Bezug auf die verfügbaren, korrigierten Junos OS Versionen.
Version 10 (09.08.2016):
Juniper Networks informiert über die Ergebnisse einer Untersuchung des
RFC4861 ‘Neighbor Discovery for IP version 6 (IPv6)’ seitens verschiedener
Hersteller. Die Weiterleitung schadhafter IPv6-Neighbor Discovery (ND)
Pakete steht nicht im Widerspruch zu diesem Request for Comments, so dass
die Hersteller vor diesem Hintergrund eigene Sicherheitsupdates zur
Verfügung stellen müssen. Juniper stellt Hotfixes für JUNOSe, die Software
der E-Series Router, bereit. Cisco aktualisiert einige der im eigenen
Sicherheitshinweis referenzierten Fehlerbeschreibungen (Cisco Bugs), um
Workarounds oder Mitigationen für bestimmte Produkte zur Verfügung zu
stellen. Zu diesen Produkten gehören unter anderem Cisco ASR 1000 Series
Aggregation Services Routers (Cisco Bug CSCuz79330), Cisco Nexus 7000
Series Switches (CSCuz89940) und Cisco 12000 Series Routers (CSCva39982).
Version 9 (17.06.2016):
Cisco aktualisiert die Sicherheitsmeldung cisco-sa-20160525-ipv6, um über
die Verfügbarkeit weiterer Software Maintenance Updates (SMUs) für Cisco
IOS XR zu informieren. Die folgenden SMUs stehen zusätzlich bereit:
‘asr9k-px-5.1.3.CSCuz66542.pie’, ‘asr9k-px-6.0.1.CSCuz66542.pie’ und
‘ncs6k-5.2.5.CSCuz66542.smu’.
Version 8 (15.06.2016):
Cisco informiert in einer Aktualisierung seiner Sicherheitsmeldung
cisco-sa-20160525-ipv6 darüber, dass die Cisco Adaptive Security Appliance
(ASA) Software und Cisco StarOS ebenfalls von der Schwachstelle betroffen
sind. Cisco informiert darüber, dass Geräte, für die eine globale
IPv6-Adresse auf mindestens einem Interface konfiguriert ist, aus der
Entfernung verwundbar sind. Geräte, für die nur eine ‘link-local’ Adresse
konfiguriert ist, sind nur aus dem benachbarten Netzwerk (Layer 2
Adjacency) angreifbar.
Version 7 (13.06.2016):
Cisco informiert in einer Aktualisierung seiner Sicherheitsmeldung
cisco-sa-20160525-ipv6 darüber, dass für Cisco IOS XR die Software
Maintenance Updates (SMUs) ‘asr9k-px-5.3.2.CSCuz66542.pie’,
‘asr9k-px-5.3.3.CSCuz66542.pie’ und ‘hfr-px-5.3.3.CSCuz66542.pie’ zur
Verfügung stehen. Weitere SMUs werden veröffentlicht, sobald verfügbar.
Version 6 (07.06.2016):
Cisco informiert in einer Aktualisierung seiner Sicherheitsmeldung
cisco-sa-20160525-ipv6, dass alle Releases der Cisco IOS XR Software,
Cisco IOS Software, Cisco IOS XE Software und Cisco NX-OS Software von der
beschriebenen Schwachstelle betroffen sind. Sicherheitsupdates werden
jeweils veröffentlicht, sobald diese verfügbar sind, und entsprechende
Informationen dazu werden dann über das Cisco Bug Search Tool
bereitgestellt.
Version 5 (06.06.2016):
Juniper Networks informiert darüber, dass EX4300, EX4600, QFX3500 und
QFX5100 Plattformen, möglicherweise aber alle Produkte, die Junos OS
verwenden, von der Schwachstelle betroffen sind. Interne Untersuchungen
haben zwei weitere Schwachstellen im Zusammenhang mit IPv6-Neighbor
Discovery (ND) aufgezeigt; bisher stehen keine Sicherheitsupdates zur
Verfügung. Juniper informiert im Abschnitt ‘Workaround’ über Security Best
Current Practices (BCPs) zur Minimierung der Angriffsfläche von
Juniper-Produkten.
Version 4 (03.06.2016):
Cisco aktualisiert cisco-sa-20160525-ipv6 und weist darauf hin, dass es
sich nicht um einen Cisco spezifischen Fehler handelt, sondern jedes
Gerät/Software von dieser Schwachstelle betroffen ist, wenn es/sie nicht
in der Lage ist Pakete IPv6 erforderlichenfalls früh im
Verarbeitungsprozess zu verwerfen. Weiterhin gibt Ciso Empfehlungen, wie
das Problem in einem Netzwerk gemindert werden kann (siehe unter
“Workaround”).
Version 3 (01.06.2016):
Cisco aktualisiert die referenzierte Sicherheitsmeldung und benennt jetzt
auch die Cisco IOS Software als betroffen.
Version 2 (27.05.2016):
Cisco aktualisiert die referenzierte Sicherheitsmeldung und benennt jetzt
auch die Cisco NX-OS Software als betroffen. Zusätzlich informiert Cisco,
dass die Verwundbarkeit der Cisco Adaptive Security Appliance (ASA)
Software noch untersucht wird und das dem Cisco Product Security Incident
Response Team (PSIRT) erste Informationen über erfolgreiche Ausnutzungen
der Schwachstelle vorliegen.
Version 1 (26.05.2016):
Neues Advisory
Betroffene Software:
Internet Protocol Version 6 (IPv6)
Cisco Adaptive Security Appliance (ASA)
Cisco IOS
Cisco IOS XE
Cisco IOS XR
Cisco NX-OS
Cisco StarOS
Juniper Junos OS
Juniper JUNOSe
Betroffene Plattformen:
Cisco 12000 Router
Cisco Adaptive Security Appliance (ASA)
Cisco ASR 1000 Series Aggregation Services Routers (ASR1K)
Cisco ASR 9000 Router
Cisco Hardware
Cisco ISR 4300 Router
Cisco ISR 4400 Router
Cisco Network Convergence System 6000 Series Router
Juniper SRX Services Gateways
Cisco StarOS
Juniper Junos OS
Juniper JUNOSe
Eine Schwachstelle in der Cisco IOS XE und Cisco IOS XR Software ermöglicht
einem entfernten, nicht authentifizierten Angreifer das Durchführen von
Denial-of-Service (DoS)-Angriffen.
Cisco bestätigt die Schwachstelle bereits für einige Produkte mit Cisco IOS
XR Software (Cisco 12000 Series Routers, Cisco ASR 9000 Series Aggregation
Services Routers, Cisco Carrier Routing System, Cisco Network Convergence
System 4000 Series und 6000 Series Routers) und Cisco IOS XE Software (Cisco
4300 Series Integrated Services Routers, Cisco 4400 Series Integrated
Services Routers und Cisco ASR 1000 Series Aggregation Services Routers) und
gibt bekannt, dass die Untersuchungen zur Anfälligkeit der Produkte noch
nicht abgeschlossen sind und weitere Informationen folgen werden. Derzeit
stehen noch keine Sicherheitsupdates bereit.
Workaround:
Da kein direkter Workaround verfügbar ist, sollten Kunden externe Techniken
zur Vermeidung der Schwachstelle verwenden. So könnten IPv6 ND Pakete auf
einem Internet Edge Router über eine Access Control Liste (ACL)
ausgeschlossen werden, um die Geräte der Infrastruktur hinter diesem Router
zu schützen. IPv6 ND Pakete sollten auf lokale Links beschränkt werden.
Alternativ könnten statische IPv6 Nachbarn konfiguriert werden, wo dieses
möglich ist, und alle IPv6 ND Pakete an der Peripherie verworfen werden.
Patch:
Cisco Security Advisory cisco-sa-20160525-ipv6 (Cisco-Alert-CVE-2016-1409)
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160525-ipv6
Patch:
Juniper Security Advisory JSA10749
http://kb.juniper.net/index?page=content&id=JSA10749&actp=RSS
CVE-2016-1409: Schwachstelle in IPv6-Protokoll ermöglicht
Denial-of-Service-Angriff
Es existiert eine Schwachstelle im IPv6-Protokoll aufgrund einer
unzureichenden Verarbeitungslogik für präparierte IPv6-Datenpakete. Ein
Angreifer kann diese Schwachstelle ausnutzen, indem er eine präparierte
“IPv6 Neighbor Discovery”-Nachricht an ein betroffenes Gerät sendet, wodurch
dieses die Verarbeitung des IPv6-Datenverkehr beendet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0840/
Cisco Security Advisory cisco-sa-20160525-ipv6 (Cisco-Alert-CVE-2016-1409):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160525-ipv6
Schwachstelle CVE-2016-1409 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1409
Juniper Security Advisory JSA10749:
http://kb.juniper.net/index?page=content&id=JSA10749&actp=RSS
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
