Cisco ostrzega przed nieszczelnościami w IOS

Firma Cisco Systems ostrzegła 16 lipca użytkowników eksploatujących jej urządzenia sieciowe, że w zarządzającym nimi oprogramowaniu wykryto nieszczelności, które mogą być wykorzystane do przeprowadzenia ataku typu DoS (denial-of-service - odmowa świadczenia usług).

Ostrzeżenie dotyczy szeregu urządzeń wytwarzanych przez Cisco, które pracują pod firmowym systemem operacyjnym IOS i akceptują pakiety IPv4. Są to między innymi popularne przełączniki linii Catalyst, rutery linii 7300 i punkty dostępu (sieci bezprzewodowe) linii Aironet. Wszystkie te urządzenia są domyślnie tak skonfigurowane, że akceptują ruch IPv4.

Okazuje się, że można tak skomponować pakiety IPv4 i wysłać je bezpośrednio do urządzenia Cisco, że urządzenie to przestanie obsługiwać przychodzący do niego ruch. Winę za to ponosi sieciowy system operacyjny IOS.

Zobacz również:

Sekwencja pakietów IPv4 (w których w polu definiującym typ protokołu użytkownik wstawi określoną wartość, taką jak 53 - czyli SWIPE, 55 - czyli IP Mobility), 77 - czyli Sun ND lub 103 - czyli Protocol Independent Multicast) powoduje, że system IOS zamyka dany interfejs przypisując mu statut “pełny”. W efekcie interfejs ten przestaje obsługiwać przychodzący do niego ruch. Jeśli pakiety takie będą transmitowane do wielu interfejsów zainstalowanych w urządzeniu (a jest to możliwe bez konieczności uwierzytelniania użytkownika), to unieruchomieniu może ulec cały węzeł sieci. Jest to o tyle groźne, że administrator nie ma wtedy dostępu do takiego urządzenia i jedynym ratunkiem jest jego ponowne uruchomienie (operacja “reboot”). Dotyczy to jednak wyłącznie pakietów IPv4 – pakiety Ipv6 nie są podatne na takie manipulacje.

Kolejny kłopot polega na tym, że atakowane urządzenie nie generuje żadnego alarmu (administrator nie może więc w żaden sposób zareagować na takie niecne poczynania) i nie jest w stanie wykonać automatycznie operacji “reboot”.

Nieszczelność ta została potwierdzona przez CERT Coordination Center i przez Internet Security Systems (ISS), które razem z Cisco zachęcają użytkowników do jak najszybszego uaktualnienia oprogramowania IOS. Poprawkę likwidującą niedoskonałości pracy tego systemu operacyjnego można pobierać bezpłatnie ze strony: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml#fixes.

Sprawa jest poważna. Dostawcy usług internetowych mogą szybko dokonać stosownych aktualizacji oprogramowania IOS, ale w przypadku małych i średnich firm może to już potrwać nieco dłużej, a to może grozić unieruchomieniem sieci LAN, jeśli stanie się ona obiektem ataku DoS.

Cisco radzi tym użytkownikom, którzy nie mogą od razu uaktualnić oprogramowania IOS, aby podjęli inne kroki zwiększające bezpieczeństwo sieci. W przypadku tych urządzeń, które zostały już zaatakowane, administrator może podwyższyć wartość określającą wielkość kolejki wejściowej, co odblokuje urządzenie. Inna metoda polega na użyciu listy ACL, tak aby pakiety IPv4 pochodzące z nieznanego źródła były blokowane.