Problem jest poważny nie tylko dlatego, że luka jest groźna - nie mniej istotne jest również to, że OSPF jest bardzo szeroko stosowany. Korzysta z niego zdecydowana większość z ok. 35 tys. autonomicznych systemów sieciowych wykorzystywanych w Internecie (głównie przez organizacje - powszechnie używają ich korporacje, instytucje naukowe oraz dostawcy usług internetowych).

"Obecnie nie istnieje prosty sposób zabezpieczenia się przed atakiem - problem można rozwiązać zmieniając protokół na RIP albo IS-IS lub poprawiając OSPF" - tłumaczył Gabi Nakibly, specjalista ds. bezpieczeństwa z izraelskiego Electronic Warfare Research and Simulation Center, który wykrył i potwierdził lukę w Open Shortest Path First.

Zobacz również:

• Trwają prace nad komputerami symulującymi działanie ludzkiego mózgu
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations

Nakibly twierdzi, że z powodzeniem zdołał wykorzystać ową lukę do zaatakowania infrastruktury sieciowej wykorzystującej router Cisco 7200 z oprogramowaniem IOS 15.0(1)M - ale jego zdaniem na podobny atak podatne jest każde urządzenie sieciowe zgodne ze specyfikacją protokołu OSPF. "Urządzenie Cisco wybrałem tylko dlatego, że chciałem podkreślić, jak bardzo poważny i powszechny jest ten problem" - tłumaczy izraelski ekspert.

Problem związany jest z zasadami funkcjonowania OSPF - okazuje się, że protokół można oszukać tak, by akceptował sfałszowane tablice routingu, przekazywane przez urządzenia podszywające się pod firmowy sprzęt sieciowy. Gabi Nakibly wykorzystał do tego celu laptopa podłączonego do atakowanej sieci - wysyłane z tego urządzenia komunikaty LSA (link state advertisement) były bez zastrzeżeń akceptowane przez routery, ponieważ urządzenia te sprawdzały jedynie, czy numer sekwencji jest aktualny, czy komunikat zawiera odpowiednią sumę kontrolą i czy nie jest starszy niż 15 minut.

Problem w tym, że wszystkie te wartości da się łatwo sfałszować - Nakibly zrobił to bez większego problemu. Spreparowane komunikaty LSA mógł następnie wykorzystać do całego zestawu działań zakłócających pracę sieci lub też kierujących ruch sieciowych w wybrane przez napastnika miejsca. Do przeprowadzenia takiego ataku potrzebny jest tylko punkt wejścia do sieci - np. przejęty przez napastnika router lub podłączone do sieci urządzenie podszywające się pod router.