HSC - Articles - The network don't protect itself

Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet


You are here: Home > Resources > Articles > The network don't protect itself		Search:

Services

			Skills & Expertise
			Consulting
			ISO 27001 services
			Vulnerabilities monitoring
			Audit & Assessment
			Penetration tests
			Vunerability assessment (TSAR)
			Technical assistance
			Training courses

Conferences

			Agenda
			Past events
			Tutorials

Resources

			Thematic index
			Tips
			Lectures
			Courses
			Articles
			Tools (download)
			Vulnerability watch

Company

			Hervé Schauer
			Job opportunities
			Credentials
			History
			Partnerships
			Associations

Press and
communication

			HSC Newsletter
			Press review
			Press releases
			Publications

Contacts

			How to reach us
			Specific inquiries
			Directions to our office
			Hotels near our office


		The network don't protect itself

Access to the content

Beginning of the article

Description

Article about the deny of services on all CISCO routers.

Context & Dates

Editorial article on Secuser by Hervé Schauer.
28 July 2003

Author

Hervé Schauer (Herve.Schauer@hsc.fr)

Type

Abstract &
Table of content

Le 17 juillet dernier, l'équipementier Cisco a publié un avis révélant un déni de service distant sur ses produits, routeurs ou commutateurs. Evènement majeur comme l'Internet n'en a pas connu depuis ses débuts, ce déni de service aurait pu avoir un effet dévastateur. L'interopérabilité permet la diversité et cet évènement doit rappeler à ceux qui font de la monoculture un argument de vente les cinglants désavantages de cette monoculture.

Related documents

	Denial of Service
	DOS on Internet infrastructure [4 November 2003 - ] Network-based Denial of Service [12 December 2001 - ] Network Denial of Service [3 April 2001 - ] Remote DOS by TCP Resource Starvation [13 December 2000 - ]

	Cisco
	Stakes of network security [31 March 2005 - ] Pancho [7 June 2002 - ] Various filtering patterns with Cisco IOS [16 November 2001 - ] How to configure an IPsec tunnel on an agency Cisco router, with dynamic addressing and an ISDN line [5 December 2000 - ]

CISCO Security advisory about the deni of service.

Copyright

Le 17 Juillet, Cisco a publié un avis révélant un déni de service distant sur ses produits.

Ce déni de service est valable sur toutes les version d'IOS inférieures à 12.3, pour tous les types d'équipements, qu'il soient entrée de gamme ou très haut de gamme, routeurs ou commutateurs. Il suffit d'envoyer certains types de paquets à destination du routeur lui-même, en utilisant des protocoles qui n'ont jamais servi, pour que les paquets restent dans la file d'attente et ne soient jamais traités. La taille de la file d'attente étant par défaut de 75 entrées, rapidement l'interface du routeur ne répond plus. Si Cisco a révélé ce problème c'est sans doute qu'il y a été contraint et donc que le problème a du être connu de certains, dont les intentions n'étaient plus sous contrôle.

Ce déni de service aurait pu affecter très grandement l'Internet en étant intelligemment utilisé. Une organisation malveillante aurait pu obtenir un effet dévastateur. C'est donc un évènement majeur comme l'Internet n'en a pas connu depuis ses débuts.

Cisco a prévenu les opérateurs français 48h avant la diffusion de l'avis, peut-être d'autres encore plus tôt, aussi, toute attaque généralisée a été annihilée car non seulement les équipements qui sont au coeur de l'Internet ont été corrigés ou protégés, mais la plupart des opérateurs ont aussi filtré le trafic Internet lui-même qui permet d'attaquer.

Il est en effet facile de se protéger, soit en mettant à jour son IOS, mais quand cette opération est trop délicate il suffit de filtrer le trafic vers le routeur en autorisant par exemple que les protocoles TCP, UDP, ICMP et les protocoles de routage.

Plus difficile à expliquer sont les explications détaillées que Cisco a publié 24h après la diffusion de son premier avis. Le premier avis demandait un travail d'expert pour en déduire l'exploitation de la faille. Le second avis donnait des explications simples sur les listes de contrôle d'accès à implémenter mais a aussi permis en quelques heures la publication d'une exploitation, qui a rendue la situation tendue, même si aucune catastrophe ne s'est produite.

Le problème vient d'une erreur de programmation dans le logiciel IOS, dans une partie jamais implémentée dans le matériel ce qui explique que la faille soit valable pour tous les équipements. C'est une erreur très ancienne qui montre qu'une faille de sécurité logicielle peut rester des années dans un code diffusé à beaucoup d'exemplaires sans que personne ne s'en aperçoive. Un routeur aiguille par principe tous les protocoles, mêmes ceux qui ne servent jamais, mais n'aurait peut-être pas du les traiter quand ils lui sont adressés, le code correspondant n'ayant sans doute jamais été testé.

Le déni de service se réalise très facilement à l'aide d'un utilitaire comme hping. La facilité déconcertante de mise en oeuvre du déni de service laisse présager des usages malveillants futurs. Ainsi, un ver ou un virus arrivant sur un poste de travail pourraient aisément attaquer un réseau interne et y faire tomber les routeurs et commutateurs Cisco. Si l'Internet est désormais protégé, les équipements au coeur des réseau d'entreprise n'auront que trop rarement été mis à jour et n'ont généralement pas de listes de contrôle d'accès pour se protéger.

Enfin, si cette faille dans un logiciel est si grave, c'est que les systèmes d'informations reposent sur un équipement dominant. L'interopérabilité permet la diversité et cet évènement doit rappeler à ceux qui font de la monoculture Cisco un argument de vente de leur compétence les désavantages de cette monoculture.

Hervé Schauer