home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 15 / hacker15 / 15_H4CK3R#15.ISO / eploits / cisco_ons / cisco-sa-20040219-ONS.txt next >
Encoding:
PGP Message  |  2004-03-03  |  17.9 KB  |  441 lines
  1. -----BEGIN PGP SIGNED MESSAGE-----
  2. Hash: SHA1
  3.  
  4.   Cisco Security Advisory: Cisco ONS 15327, ONS 15454, ONS 15454 SDH, and ONS
  5.                              15600 Vulnerabilities
  6.  
  7. Revision 1.0
  8.  
  9.   For Public Release 2004 February 19 1700 UTC (GMT)
  10.  
  11.      ----------------------------------------------------------------------
  12.  
  13. Contents
  14.  
  15.      Summary
  16.      Affected Products
  17.      Details
  18.      Impact
  19.      Software Versions and Fixes
  20.      Obtaining Fixed Software
  21.      Workarounds
  22.      Exploitation and Public Announcements
  23.      Status of This Notice: FINAL
  24.      Distribution
  25.      Revision History
  26.      Cisco Security Procedures
  27.  
  28.      ----------------------------------------------------------------------
  29.  
  30. Summary
  31.  
  32.    Multiple vulnerabilities exist in the Cisco ONS 15327 Edge Optical
  33.    Transport Platform, the Cisco ONS 15454 Optical Transport Platform, the
  34.    Cisco ONS 15454 SDH Multiplexer Platform, and the Cisco ONS 15600
  35.    Multiservice Switching Platform.
  36.  
  37.    These vulnerabilities are documented as Cisco bug ID
  38.    CSCec17308/CSCec19124(tftp), CSCec17406(port 1080), and
  39.    CSCec66884/CSCec71157(SU access). There are workarounds available to
  40.    mitigate the effects of these vulnerabilities.
  41.  
  42.    This advisory will be posted at
  43.    http://www.cisco.com/warp/public/707/cisco-sa-20040219-ONS.shtml .
  44.  
  45. Affected Products
  46.  
  47.      * CSCec17308/CSCec19124(tftp)
  48.  
  49.    +------------------------------------------+
  50.    |      Product       |  Affected Releases  |
  51.    |--------------------+---------------------|
  52.    |                    |4.1(0) to 4.1(2)     |
  53.    |15327               |                     |
  54.    |                    |4.0(x)               |
  55.    |--------------------+---------------------|
  56.    |                    |4.5(x)               |
  57.    |                    |                     |
  58.    |15454, 15454 SDH    |4.1(0) to 4.1(2)     |
  59.    |                    |                     |
  60.    |                    |4.0(x)               |
  61.    |--------------------+---------------------|
  62.    |15600               |1.0(x)               |
  63.    +------------------------------------------+
  64.  
  65.      * CSCec17406(port 1080)
  66.  
  67.    +------------------------------------------+
  68.    |      Product       |  Affected Releases  |
  69.    |--------------------+---------------------|
  70.    |                    |4.1(0)               |
  71.    |15327               |                     |
  72.    |                    |4.0(0) to 4.0(1)     |
  73.    |--------------------+---------------------|
  74.    |                    |4.5(x)               |
  75.    |                    |                     |
  76.    |15454, 15454 SDH    |4.1(0)               |
  77.    |                    |                     |
  78.    |                    |4.0(0) to 4.0(1)     |
  79.    |--------------------+---------------------|
  80.    |15600               |Not Affected         |
  81.    +------------------------------------------+
  82.  
  83.      * CSCec66884/CSCec71157(SU access)
  84.  
  85.    +------------------------------------------+
  86.    |     Product     |   Affected Releases    |
  87.    |-----------------+------------------------|
  88.    |                 |4.1(0) to 4.1(2)        |
  89.    |15327            |                        |
  90.    |                 |4.0(x)                  |
  91.    |-----------------+------------------------|
  92.    |                 |4.5(x)                  |
  93.    |                 |                        |
  94.    |15454, 15454 SDH |4.1(0) to 4.1(2)        |
  95.    |                 |                        |
  96.    |                 |4.0(x)                  |
  97.    |-----------------+------------------------|
  98.    |15600            |1.x(x) except for 1.1(1)|
  99.    +------------------------------------------+
  100.  
  101.    Products not affected by these vulnerabilities include the Cisco ONS 15800
  102.    series, ONS 15500 series extended service platform, ONS 15302, ONS 15305,
  103.    ONS 15200 series metro DWDM systems, and the ONS 15190 series IP transport
  104.    concentrator.
  105.  
  106.    Cisco ONS 15327 hardware running ONS Release 1.x(x) and 3.x(x) and Cisco
  107.    ONS 15454 hardware running ONS Releases 2.x(x) and 3.x(x) are not affected
  108.    by these vulnerabilities.
  109.  
  110.    No other Cisco products are currently known to be affected by these
  111.    vulnerabilities.
  112.  
  113.    To determine your software revision, view the Help > About window on the
  114.    CTC management software.
  115.  
  116. Details
  117.  
  118.    The affected Cisco ONS 15327, ONS 15454, ONS 15454 SDH, and ONS 15600
  119.    hardware is managed through the XTC, TCC+/TCC2, TCCi/TCC2, and TSC control
  120.    cards respectively. These control cards are usually connected to a network
  121.    isolated from the Internet and local to the customer's environment. This
  122.    limits the exposure to the exploitation of the vulnerabilities from the
  123.    Internet.
  124.  
  125.      * CSCec17308/CSCec19124(tftp)
  126.  
  127.        The TFTP service on UDP port 69 is enabled by default to allow both
  128.        GET and PUT commands to be executed without any authentication. Using
  129.        a TFTP client, it is possible to connect to the optical device and
  130.        upload or retrieve ONS system files on the current active TCC in the
  131.        /flash0 or /flash1 directories. It is not possible to upload or
  132.        retrieve any user data files.
  133.  
  134.        Cisco bug ID CSCec17308 documents the issue on the Cisco ONS 15327,
  135.        ONS 15454 and ONS 15454 SDH, and Cisco bug ID CSCec19124 documents the
  136.        issue on the Cisco ONS 15600 hardware.
  137.  
  138.      * CSCec17406(port 1080)
  139.  
  140.        The Cisco ONS 15327, ONS 15454 and ONS 15454 SDH hardware is
  141.        susceptible to an ACK Denial of Service (DoS) attack on TCP port 1080.
  142.        TCP port 1080 is used by network management applications to
  143.        communicate with the controller card. The controller card on the
  144.        optical device will reset under such an attack.
  145.  
  146.        An ACK DoS attack is conducted by not sending the final ACK required
  147.        for a 3-way TCP handshake to complete, and instead sending an invalid
  148.        response to move the connection to an invalid TCP state.
  149.  
  150.        The Cisco ONS 15600 Multiservice Switching Platform is not affected by
  151.        this vulnerability.
  152.  
  153.      * CSCec66884/CSCec71157(SU access)
  154.  
  155.        Telnet access to the underlying VxWorks operating system, by default,
  156.        is restricted to Superusers only. Due to this vulnerability, a
  157.        superuser whose account is locked out, disabled, or suspended is still
  158.        able to login (Telnet) into the VxWorks shell, using their previously
  159.        configured password.
  160.  
  161.        Cisco bug ID CSCec66884 documents the issue on the Cisco ONS 15327,
  162.        ONS 15454 and ONS 15454 SDH, and Cisco bug ID CSCec71157 documents the
  163.        issue on the Cisco ONS 15600 hardware.
  164.  
  165.    The Internetworking Terms and Cisco Systems Acronyms online guides can be
  166.    found at http://www.cisco.com/univercd/cc/td/doc/cisintwk/ .
  167.  
  168.    These vulnerabilities are documented in the Cisco Bug Toolkit (registered
  169.    customers only) as Cisco bug IDs CSCec17308/CSCec19124(tftp),
  170.    CSCec17406(port 1080), and CSCec66884/CSCec71157(SU access). To access
  171.    this tool, you must be a registered user and you must be logged in.
  172.  
  173. Impact
  174.  
  175.      * CSCec17308/CSCec19124(tftp) -- This vulnerability could be exploited
  176.        to launch a DoS attack on the optical device if corrupt ONS system
  177.        files were to be uploaded to the controller card.
  178.  
  179.      * CSCec17406(port 1080) -- This vulnerability could be exploited to
  180.        launch a DoS attack on the optical device.
  181.  
  182.        The timing for the data channels traversing the switch is provided by
  183.        the control cards.
  184.  
  185.        On the Cisco ONS 15454, ONS 15327, and ONS 15454 SDH hardware,
  186.        whenever both the active and standby control cards are rebooting at
  187.        the same time, the synchronous data channels traversing the switch
  188.        drop traffic until the card reboots. Asynchronous data channels
  189.        traversing the switch are not impacted. Manageability functions
  190.        provided by the network element using the TCC+/TCC2, XTC, and
  191.        TCCi/TCC2 control cards are not available until the control card
  192.        reboots.
  193.  
  194.        On the Cisco ONS 15600 hardware, whenever both the active and standby
  195.        control cards are rebooting at the same time, there is no impact to
  196.        the data channels traversing the switch because the TSC does a
  197.        software reset which does not impact the timing being provided by the
  198.        TSC for the data channels.
  199.  
  200.        Manageability functions provided by the network element through the
  201.        TSC control cards are not available until the control card reboots.
  202.  
  203.      * CSCec66884/CSCec71157(SU access) -- This vulnerability could be
  204.        exploited to gain unauthorized access to the optical device.
  205.  
  206. Software Versions and Fixes
  207.  
  208.      * CSCec17308/CSCec19124(tftp)
  209.  
  210.        +----------------------------------------+
  211.        |    Product     |    Fixed Releases     |
  212.        |----------------+-----------------------|
  213.        |15327           |4.1(3) and later       |
  214.        |----------------+-----------------------|
  215.        |15454, 15454 SDH|4.6(1) and later,      |
  216.        |                |4.1(3) and later       |
  217.        |----------------+-----------------------|
  218.        |15600           |1.3(0) and later,      |
  219.        |                |1.1(0) and later       |
  220.        +----------------------------------------+
  221.  
  222.      * CSCec17406(port 1080)
  223.  
  224.        +----------------------------------------+
  225.        |    Product     |    Fixed Releases     |
  226.        |----------------+-----------------------|
  227.        |15327           |4.1(1) and later,      |
  228.        |                |4.0(2) and later       |
  229.        |----------------+-----------------------|
  230.        |                |4.6(1) and later,      |
  231.        |15454, 15454 SDH|4.1(1) and later,      |
  232.        |                |4.0(2) and later       |
  233.        |----------------+-----------------------|
  234.        |15600           |Not Affected           |
  235.        +----------------------------------------+
  236.  
  237.      * CSCec66884/CSCec71157(SU access)
  238.  
  239.        +----------------------------------------+
  240.        |    Product     |    Fixed Releases     |
  241.        |----------------+-----------------------|
  242.        |15327           |4.1(3) and later       |
  243.        |----------------+-----------------------|
  244.        |15454, 15454 SDH|4.6(1) and later,      |
  245.        |                |4.1(3) and later       |
  246.        |----------------+-----------------------|
  247.        |15600           |1.1(1), 5.0 and later  |
  248.        |                |(when available)       |
  249.        +----------------------------------------+
  250.  
  251.        Cisco ONS Release 4.6(0) is not affected by these vulnerabilities. The
  252.        recommended release to upgrade to is Cisco ONS release 4.6(1).
  253.  
  254.    Upgrade procedures can be found as indicated below.
  255.  
  256.      * The procedure to upgrade to the fixed software version on the Cisco
  257.        ONS 15327 hardware is detailed at
  258.        http://www.cisco.com/univercd/cc/td/doc/product/ong/15327/327doc41/index.htm .
  259.  
  260.      * The procedure to upgrade to the fixed software version on the Cisco
  261.        ONS 15454 hardware is detailed at
  262.        http://www.cisco.com/univercd/cc/td/doc/product/ong/15400/r46docs/index.htm .
  263.  
  264.      * The procedure to upgrade to the fixed software version on the Cisco
  265.        ONS 15600 hardware is detailed at
  266.        http://cisco.com/univercd/cc/td/doc/product/ong/15600/index.htm .
  267.  
  268. Obtaining Fixed Software
  269.  
  270.    Cisco is offering free software upgrades to address this vulnerability for
  271.    all affected customers.
  272.  
  273.    Customers may only install and expect support for the feature sets they
  274.    have purchased. By installing, downloading, accessing or otherwise using
  275.    such software upgrades, Customers agree to be bound by the terms of
  276.    Cisco's software license terms found at
  277.    http://www.cisco.com/public/sw-license-agreement.html , or as otherwise set
  278.    forth at the Cisco Connection Online Software Center at
  279.    http://www.cisco.com/public/sw-center/sw-usingswc.shtml .
  280.  
  281.    Customers with contracts should obtain upgraded software through their
  282.    regular update channels. For most customers, this means that upgrades
  283.    should be obtained through the Software Center on Cisco's worldwide
  284.    website at http://www.cisco.com/tacpage/sw-center/sw-optical.shtml . To
  285.    access the software download URL, you must be a registered user and you
  286.    must be logged in.
  287.  
  288.    Customers whose Cisco products are provided or maintained through prior or
  289.    existing agreement with third-party support organizations such as Cisco
  290.    Partners, authorized resellers, or service providers should contact that
  291.    support organization for assistance with obtaining the software
  292.    upgrade(s).
  293.  
  294.    Customers who purchase direct from Cisco but who do not hold a Cisco
  295.    service contract and customers who purchase through third-party vendors
  296.    but are unsuccessful at obtaining fixed software through their point of
  297.    sale should get their upgrades by contacting the Cisco Technical
  298.    Assistance Center (TAC) using the contact information listed below. In
  299.    these cases, customers are entitled to obtain an upgrade to a later
  300.    version of the same release or as indicated by the applicable corrected
  301.    software version in the Software Versions and Fixes section (noted above).
  302.  
  303.    Cisco TAC contacts are as follows:
  304.  
  305.      * +1 800 553 2447 (toll free from within North America)
  306.  
  307.      * +1 408 526 7209 (toll call from anywhere in the world)
  308.  
  309.      * e-mail: tac@cisco.com
  310.  
  311.    See http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml for
  312.    additional TAC contact information, including special localized telephone
  313.    numbers and instructions and e-mail addresses for use in various
  314.    languages.
  315.  
  316.    Please have your product serial number available and give the URL of this
  317.    notice as evidence of your entitlement to an upgrade. Upgrades for
  318.    non-contract customers must be requested through the TAC.
  319.  
  320.    Please do not contact either "psirt@cisco.com" or
  321.    "security-alert@cisco.com" for software upgrades.
  322.  
  323. Workarounds
  324.  
  325.    There are mitigation workarounds available for these vulnerabilities. The
  326.    Cisco PSIRT recommends that affected users upgrade to a fixed software
  327.    version of code.
  328.  
  329.      * CSCec17308/CSCec19124(tftp)
  330.  
  331.        Use access control lists on routers and firewalls that are installed
  332.        in the network to allow only valid network management workstations to
  333.        gain TFTP access to the XTC, TCC+/TCC2, TCCi/TCC2, or TSC control
  334.        cards.
  335.  
  336.      * CSCec17406(port 1080)
  337.  
  338.        Use access control lists on routers and firewalls that are installed
  339.        in the network to allow only valid network management workstations to
  340.        gain TCP port 1080 access to the XTC, TCC+/TCC2, TCCi/TCC2, or TSC
  341.        control cards.
  342.  
  343.      * CSCec66884/CSCec71157(SU access)
  344.  
  345.        Use access control lists on routers and firewalls that are installed
  346.        in the network to allow only valid network management workstations to
  347.        gain login (Telnet) access to the XTC, TCC+/TCC2, TCCi/TCC2, or TSC
  348.        control cards.
  349.  
  350.    Refer to http://www.cisco.com/warp/public/707/iacl.html for examples on
  351.    how to apply access control lists (ACLs) on Cisco routers.
  352.  
  353. Exploitation and Public Announcements
  354.  
  355.    The Cisco PSIRT is not aware of any public announcements or malicious use
  356.    of the vulnerability described in this advisory.
  357.  
  358.    These vulnerabilities were reported to PSIRT by Cisco customers or found
  359.    during internal testing.
  360.  
  361. Status of This Notice: FINAL
  362.  
  363.    This is a final advisory. Although Cisco cannot guarantee the accuracy of
  364.    all statements in this advisory, all of the facts have been checked to the
  365.    best of our ability. Cisco does not anticipate issuing updated versions of
  366.    this advisory unless there is some material change in the facts. Should
  367.    there be a significant change in the facts, Cisco may update this
  368.    advisory.
  369.  
  370.    A stand-alone copy or Paraphrase of the text of this security advisory
  371.    that omits the distribution URL in the following section is an
  372.    uncontrolled copy, and may lack important information or contain factual
  373.    errors.
  374.  
  375. Distribution
  376.  
  377.    This advisory will be posted on Cisco's worldwide website at
  378.    http://www.cisco.com/warp/public/707/cisco-sa-20040219-ONS.shtml .
  379.  
  380.    In addition to worldwide web posting, a text version of this notice is
  381.    clear-signed with the Cisco PSIRT PGP key having the fingerprint 8C82 5207
  382.    0CA9 ED40 1DD2 EE2A 7B31 A8CF 32B6 B590 and is posted to the following
  383.    e-mail and Usenet news recipients.
  384.  
  385.      * cust-security-announce@cisco.com
  386.  
  387.      * first-teams@first.org (includes CERT/CC)
  388.  
  389.      * bugtraq@securityfocus.com
  390.  
  391.      * vulnwatch@vulnwatch.org
  392.  
  393.      * cisco@spot.colorado.edu
  394.  
  395.      * cisco-nsp@puck.nether.net
  396.  
  397.      * full-disclosure@lists.netsys.com
  398.  
  399.      * comp.dcom.sys.cisco@newsgate.cisco.com
  400.  
  401.      * Various internal Cisco mailing lists
  402.  
  403.    Future updates of this advisory, if any, will be placed on Cisco's
  404.    worldwide website, but may or may not be actively announced on mailing
  405.    lists or newsgroups. Users concerned about this problem are encouraged to
  406.    check the above URL for any updates.
  407.  
  408. Revision History
  409.  
  410.    +------------------------------------------+
  411.    |            |                |Initial     |
  412.    |Revision 1.0|2004-February-19|public      |
  413.    |            |                |release.    |
  414.    +------------------------------------------+
  415.  
  416. Cisco Security Procedures
  417.  
  418.    Complete information on reporting security vulnerabilities in Cisco
  419.    products, obtaining assistance with security incidents, and registering to
  420.    receive security information from Cisco, is available on Cisco's worldwide
  421.    website at
  422.    http://www.cisco.com/warp/public/707/sec_incident_response.shtml . This
  423.    includes instructions for press inquiries regarding Cisco security
  424.    notices. All Cisco security advisories are available at
  425.    http://www.cisco.com/go/psirt.
  426.  
  427.    This advisory is copyright 2004 by Cisco Systems, Inc. This advisory may
  428.    be redistributed freely after the release date given at the top of the
  429.    text, provided that redistributed copies are complete and unmodified,
  430.    including all date and version information.
  431.  
  432.      ----------------------------------------------------------------------
  433. -----BEGIN PGP SIGNATURE-----
  434. Comment: PGP Signed by Sharad Ahlawat, Cisco Systems PSIRT
  435.  
  436. iD8DBQFANOfsezGozzK2tZARAhBdAKDRb1dodVRiDjUtrAQ6DiW42JNkpQCgrwva
  437. kzbm2Gvmn8ALgHyqTJxf7IA=
  438. =A9h2
  439. -----END PGP SIGNATURE-----
  440.  
  441.