IOS Software and Cisco IOS XE Software

Die Schwachstelle steckt in der Smart-Install-Funktion der Cisco-Betriebssysteme IOS Software und IOS XE Software, die der automatisierten Erstkonfiguration neu eingebundener Switches dient. Ursache ist eine unzureichende Prüfung der Daten in eingehenden Paketen. Ein Angreifer kann den Fehler aus der Ferne und ohne Anmeldung ausnutzen, indem er ein speziell präpariertes Paket an einen bestimmten Netzwerkdienst des Geräts sendet. Dadurch lässt sich ein Neustart des betroffenen Geräts auslösen, was zu einer Betriebsunterbrechung (Denial of Service) führt. Betroffen sind ausschließlich Switches, die als Smart-Install-Client arbeiten; Geräte, die als Smart-Install-Director konfiguriert sind, sind nicht angreifbar. Da der zugehörige Dienst auf eine eingehende Netzwerkverbindung lauscht, genügt einem Angreifer der Netzwerkzugang zum Gerät, um wiederholt Ausfälle zu erzwingen und so den Netzwerkbetrieb zu stören.