Mehrere Switch-Modelle von Cisco gerieten gestern in sogenannte Reboot-Loops, nachdem sie interne DNS-Client-Fehler als kritisch einstuften. Laut Berichten, die unter anderem dem IT-Sicherheitsportal BleepingComputer vorliegen, trat das Problem erstmals gegen 2 Uhr morgens auf. Ursache scheint ein Firmware-Bug zu sein, bei dem fehlgeschlagene DNS-Abfragen fälschlich als fatale Systemfehler interpretiert werden, was einen automatischen Neustart auslöst.

In den Logdateien der betroffenen Geräte tauchten demnach wiederholt Fehlermeldungen aus dem DNSC-Task auf. Konkret scheiterte die Namensauflösung unter anderem für "www.cisco.com" sowie für konfigurierte NTP-Zeitserver. Kurz nach der protokollierten Meldung starteten die Switches neu, teilweise im Abstand von nur wenigen Minuten. Administratoren berichteten, dass ein stabiler Netzwerkbetrieb unter diesen Umständen kaum möglich war.

Zahlreiche Serien betroffen

Betroffen war offenbar eine breite Palette an Geräten, darunter die Serien Cisco CBS250 und CBS350, Catalyst C1200, SG350, SG350X sowie SG550X. Auffällig ist, dass die Störungen nahezu zeitgleich in voneinander unabhängigen Netzwerken auftraten. Das spricht für einen externen Auslöser oder eine zeitbasierte Bedingung, die weltweit wirksam wurde. Cisco selbst hat sich bislang nicht öffentlich zur technischen Ursache geäußert, soll das Problem laut Support-Aussagen jedoch intern bestätigt haben.

Als kurzfristige Gegenmaßnahmen hatten Administratoren verschiedene Workarounds identifiziert. Dazu zählen das vollständige Deaktivieren der DNS-Auflösung auf den Switches, das Abschalten der SNTP-Zeitsynchronisation sowie das Blockieren ausgehender Internetverbindungen auf den Management-Interfaces. Mehrere Anwender berichten, dass allein das Entfernen der DNS-Konfiguration die Neustart-Schleifen zuverlässig beendet hat – selbst dann, wenn die verwendeten DNS-Server grundsätzlich erreichbar waren.

DNS-Fehler mögliche Ursache

Inzwischen gibt es Hinweise auf eine mögliche externe Mitursache: Eine kürzlich zurückgerollte DNS-Codeänderung bei Cloudflare hatte vorübergehend die Reihenfolge von DNS-Ressourceneinträgen in Antworten verändert. Diese Abweichung scheint bestimmte DNS-Implementierungen, darunter offenbar auch die in Cisco-Switches, aus dem Tritt gebracht zu haben. Zwar wurde die Änderung laut Cloudflare bereits am 8. Januar rückgängig gemacht, doch zeigt der Vorfall, wie empfindlich Netzwerkinfrastruktur auf unerwartete Abweichungen bei Basisdiensten reagieren kann.