Cisco advisory over klok problemen en de verstrekkende gevolgen

Op 2 februari 2017 heeft Cisco een advisory uitgebracht over een probleem met een hardware component dat na 18 maanden stopt met functioneren. Dit component zorgt voor het externe klok-signaal waarop alle andere componenten van een router, firewall, linecard of computer gesynchroniseerd wordt. Uit de advisory blijkt dat dit signaal zodanig snel kan degenereren dat feitelijk het signaal stopt met functioneren met als gevolg dat het getroffen apparaat niet meer werkt.Cisco geeft in de advisory aan dat het om de volgende apparatuur gaat

  • ISR 4321, ISR4331 en ISR4351 routers
  • UCS-E120 module
  • ASA5506, ASA5506W, ASA5506H, ASA5508 en ASA5516 firewalls
  • ISA3000 firewall
  • NCS1K-CNTLR controller va
  • NCS5500 line cards
  • N9K-C9504-FM-E/N9K-C9508-FM-E/N9K-X9732C-EX uit de Nexus 9000 serie
  • Meraki MS350 en MX84 series

Alle mogelijk kwetsbare componenten worden, mits ze onder garantie of actief onderhoudscontract per 16 november 2016 vielen, actief vervangen. Hiervoor is een procedure door Cisco opgesteld. Gezien het grote volume en de impact wordt door Cisco prioriteit gegeven aan de oudste apparatuur om te vervangen.

Cisco is weliswaar de eerste hardware leverancier die hierover communiceert maar het probleem lijkt veel groter dan alleen Cisco apparatuur. Veel hardware leveranciers maken allemaal gebruik van dezelfde basiscomponenten, zoals CPU, geheugen, USB-poorten en gezamenlijke chipsets. The Register (engelstalig) heeft een verband gevonden tussen een update van Intel over de Atom C2000 chipset (waarin exact hetzelfde symptoom en resultaat omschreven staat) en recente problemen bij gebruikers van andere IT producten zoals bijvoorbeeld een Synology NAS.
De Intel Atom C2000 is echter sinds 2013 beschikbaar en wordt in veel verschillende IT componenten gebruikt omdat het een mulit-core general-purpose chipset die voor veel doelen gebruikt kan worden, niet alleen switches, maar ook NAS apparaten, thin clients, mini-laptops, etc.
Buiten een nondisclosure agreement tussen een hardware fabrikant en Intel is het vanzelfsprekend ook de verantwoordelijkheid van de hardware fabrikant om te voorzien in de communicatie naar haar klanten toe. Deze twee elementen zorgen ervoor dat er buiten Cisco, en nu ook Synology, nog geen andere fabrikanten informatie hierover naar buiten hebben gebracht.

Het risico is groot dat veel andere hardware fabrikanten ook getroffen zijn door deze fout en dat de komende periode veel terugroepacties op uitgevoerd zullen gaan worden. Een niet complete lijst van getroffen fabrikanten geeft de impact aan van deze fout

  • Aaeon
  • ASRock rack (C2550D4I and C2750D4I)
  • Dell
  • HP
  • Infortrend
  • iXsystems (FreeNAS Mini)
  • Lanner
  • NEC
  • Newisys
  • Netgate (pfSense)
  • Netgear
  • Quanta
  • Seagate (NAS Pro)
  • Sophos (UTM firewall SG125)
  • Supermicro,
  • Synology
  • ZNYX Networks

Deze lijst is zeker niet compleet en de impact van deze fout is groot; het getroffen apparaat wordt feitelijk een brick en dit valt niet zomaar te repareren. Het is daarom van belang om de berichtgeving van fabrikanten serieus in de gaten te houden en indien informatie bekend wordt gemaakt (zoals door Cisco) hier gelijk aktie op te ondernemen. Het is tevens raadzaam om zelf ook te controleren of er kritische apparaten en/of componenten zijn in de omgeving die hierdoor geraakt kunnen worden. Voor deze controle is het van belang om te weten dat de volgende chipset serie getroffen is:
C2308, C2338, C2350, C2358, C2508, C2518, C2530, C2538, C2550, C2558, C2718, C2730, C2738, C2750, and C2758

Samengevat kan gesteld worden dat Cisco als eerste hier publiekelijk en transparant over communiceert en dat het probleem veel groter dan Cisco alleen is. Er zal de komende tijd nog veel meer informatie beschikbaar komen.

Share this

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.