Cisco waarschuwing klok-issue

Cisco waarschuwing klok-issue

Op 2 februari 2017 heeft Cisco een waarschuwing uitgebracht over een probleem met een hardware component dat na 18 maanden stopt met functioneren. Dit component zorgt voor het externe klok-signaal, waarop alle andere componenten van een router, firewall, linecard of computer gesynchroniseerd worden. Uit de waarschuwing blijkt dat dit signaal zodanig snel kan degenereren dat feitelijk het signaal stopt met functioneren. Het gevolg is dat het getroffen apparaat niet meer werkt. 

Cisco heeft een advies uitgebracht en geeft aan dat het om de volgende Cisco apparatuur gaat:

  • ISR 4321, ISR4331 en ISR4351 routers
  • UCS-E120 
  • ModuleASA5506, ASA5506W, ASA5506H, ASA5508 en ASA5516 firewalls
  • ISA3000 firewall
  • NCS1K-CNTLR controller va
  • NCS5500 line cards
  • N9K-C9504-FM-E/N9K-C9508-FM-E/N9K-X9732C-EX uit de Nexus 9000 serie
  • Meraki MS350 en MX84 series 

Alle mogelijk kwetsbare componenten worden, mits ze onder garantie of actief onderhoudscontract per 16 november 2016 vielen, actief vervangen. Hiervoor is een procedure door Cisco opgesteld. Gezien het grote volume en de impact wordt door Cisco prioriteit gegeven voor vervanging van de oudste apparatuur. 

Cisco is weliswaar de eerste hardware leverancier die hierover communiceert, maar het probleem lijkt veel groter dan alleen Cisco. Veel hardware leveranciers maken gebruik van dezelfde basiscomponenten, zoals CPU, geheugen, USB-poorten en gezamenlijke chipsets. The Register (engels) heeft een verband gevonden tussen een update van Intel over de Atom C2000 chipset (waarin exact hetzelfde symptoom en resultaat omschreven staan) en recente problemen bij gebruikers van andere IT-producten, zoals bijvoorbeeld een Synology NAS. De Intel Atom C2000 is echter sinds 2013 beschikbaar en wordt in veel verschillende IT componenten gebruikt omdat het een multi-core en general-purpose chipset die voor veel doelen gebruikt kan worden, niet alleen switches, maar ook NAS apparaten, thin clients, mini-laptops, enzovoort.

Ook andere fabrikanten zijn geraakt 
Buiten een non-disclosure agreement tussen een hardware fabrikant en Intel is het vanzelfsprekend ook de verantwoordelijkheid van de hardware fabrikant om te voorzien in de communicatie naar haar klanten toe. Deze twee elementen zorgen ervoor dat er buiten Cisco, en nu ook Synology, nog geen andere fabrikanten informatie hierover naar buiten hebben gebracht.

Het risico is groot dat veel andere hardware fabrikanten ook getroffen zijn door deze fout en dat er de komende periode veel terugroepacties uitgevoerd zullen gaan worden. Een waarschijnlijk niet complete lijst van getroffen fabrikanten geeft de impact aan van deze fout: 

  • Aaeon
  • ASRock rack (C2550D4I and C2750D4I)
  • Dell
  • HP
  • InfortrendiXsystems (FreeNAS Mini)
  • Lanner
  • NEC
  • Newisys
  • Netgate (pfSense)
  • Netgear
  • Quanta
  • Seagate (NAS Pro)
  • Sophos (UTM firewall SG125)
  • Supermicro
  • Synology
  • ZNYX Networks 

Advies
Deze lijst is zeker niet compleet en de impact van deze fout is groot; het getroffen apparaat wordt feitelijk een brick en dit valt niet zomaar te repareren. Het is daarom van belang om de berichtgeving van fabrikanten serieus in de gaten te houden en indien informatie bekend wordt gemaakt (zoals door Cisco) hier gelijk actie op te ondernemen. Het is tevens raadzaam om zelf ook te controleren of er kritische apparaten en/of componenten zijn in de omgeving die hierdoor geraakt kunnen worden. 

Voor deze controle is het van belang om te weten dat de volgende chipset-serie getroffen is: C2308, C2338, C2350, C2358, C2508, C2518, C2530, C2538, C2550, C2558, C2718, C2730, C2738, C2750 en C2758. Samengevat kan gesteld worden dat Cisco hier als eerste publiekelijk en transparant over communiceert en dat het probleem breder is dan alleen Cisco apparatuur. 

Inzicht in de impact op uw netwerk? 
Wilt u weten of uw apparatuur is geraakt door de issues die zijn gesignaleerd door Cisco en andere partners? Een van onze specialisten kan u helpen met een inventarisatie voor uw kritische componenten. Neem contact op met YaWorks via info@yaworks.nl of 020 664 64 51. 

Expertises

Nieuws