Beheerders van Cisco-netwerken worden geconfronteerd met een kritieke kwetsbaarheid in de flashgeheugenbeheer van meer dan 200 modellen draadloze access points (AP's) gebaseerd op IOS XE. Deze kwetsbaarheid is het gevolg van een recente foutieve software-update die ervoor zorgt dat een logbestand in het flashgeheugen dagelijks met ongeveer 5MB groeit. Hierdoor kan het geheugen uiteindelijk vol raken, waardoor nieuwe software-updates niet meer kunnen worden geïnstalleerd en de AP kwetsbaar of zelfs onbruikbaar kan worden.

Volgens een advisory van Cisco kan het logbestand een groot deel van de beschikbare geheugenruimte innemen. Hoe langer een AP met de getroffen software draait, hoe groter de kans dat een software-update mislukt vanwege onvoldoende ruimte. Analist Rob Enderle van de Enderle Group benadrukt dat dit probleem gevaarlijk is omdat het de fysieke beperkingen van het flashgeheugen raakt, wat het herstellen van het apparaat bemoeilijkt als het vastloopt of in een bootloop terechtkomt. Het probleem creëert een Catch-22: om de bug te verhelpen moet de software worden geüpdatet, maar de bug verhindert dat er voldoende ruimte is om die update te downloaden. Als beheerders te lang wachten, kan handmatige fysieke interventie nodig zijn of raakt het apparaat permanent vast.

Johannes Ullrich, hoofd onderzoek bij het SANS Institute, noemt dit een zeldzaam probleem, al erkent hij dat flashgeheugen in IoT-apparaten zoals access points beperkt is en soms vol kan raken. Hij wijst erop dat een degelijk kwetsbaarhedenbeheer altijd moet controleren of patches daadwerkelijk correct zijn toegepast, aangezien er meerdere redenen zijn waarom een patch kan falen.

Kellman Meghu, CTO van DeepCove Cybersecurity, stelt dat het overlopen van het geheugen door een bug bij vaste apparaten zeer ongebruikelijk is en dat leveranciers normaal gesproken opslagbeheer moeten verzorgen. Volgens hem zou dit probleem direct en proactief door de leverancier opgelost moeten worden, eventueel via een retourprocedure (RMA).

Getroffen zijn access points met IOS XE versies 17.12.4, 17.12.5, 17.12.6 en 17.12.6a, waaronder modellen uit de Cisco Catalyst 9130AX-serie, diverse Stadium Antenna-varianten, en Wi-Fi 6 Outdoor AP's. Beheerders kunnen het probleem oplossen door gebruik te maken van een Cisco-tool genaamd WLANPoller, die het fixproces automatiseert, of door handmatig met het commando 'show boot' te controleren of er voldoende ruimte is voor een upgrade. Cisco adviseert om deze controle zo dicht mogelijk bij het onderhoudsmoment uit te voeren, omdat het logbestand dagelijks groeit en uitstel het risico op falen vergroot.

Handmatig oplossen kost ongeveer 5 tot 10 minuten per AP, plus 15 tot 20 minuten wachttijd om te controleren of de fix succesvol is. Bij ruimtegebrek kan dit oplopen tot 20 tot 45 minuten per apparaat. Het is van belang dat beheerders tijdig actie ondernemen om te voorkomen dat access points onbruikbaar worden.