HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Articles > The network don't protect itself
Go to: HSC Trainings
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|The network don't protect itself  
> Access to the content HTML Beginning of the article  
> Description Article about the deny of services on all CISCO routers.  
> Context & Dates Editorial article on Secuser by Hervé Schauer.
28 July 2003  
> Author Hervé Schauer (Herve.Schauer@hsc.fr) 
> Type  
> Abstract &
Table of content
Le 17 juillet dernier, l'équipementier Cisco a publié un avis révélant un déni de service distant sur ses produits, routeurs ou commutateurs. Evènement majeur comme l'Internet n'en a pas connu depuis ses débuts, ce déni de service aurait pu avoir un effet dévastateur. L'interopérabilité permet la diversité et cet évènement doit rappeler à ceux qui font de la monoculture un argument de vente les cinglants désavantages de cette monoculture.  
> Related documents
themeDenial of Service
[Presentation]  DOS on Internet infrastructure [4 November 2003 - French]
[Presentation]  Network-based Denial of Service [12 December 2001 - French]
[Presentation]  Network Denial of Service [3 April 2001 - French]
[Tip]  Remote DOS by TCP Resource Starvation [13 December 2000 - English]
themeCisco
[Presentation]  Stakes of network security [31 March 2005 - French]
[Tip]  Pancho [7 June 2002 - English]
[Tip]  Various filtering patterns with Cisco IOS [16 November 2001 - French]
[Tip]  How to configure an IPsec tunnel on an agency Cisco router, with dynamic addressing and an ISDN line [5 December 2000 - French]
  CISCO Security advisory about the deni of service.
> Copyright © 2003, Hervé Schauer Consultants, all rights reserved.

 

Le 17 Juillet, Cisco a publié un avis révélant un déni de service distant sur ses produits.

Ce déni de service est valable sur toutes les version d'IOS inférieures à 12.3, pour tous les types d'équipements, qu'il soient entrée de gamme ou très haut de gamme, routeurs ou commutateurs. Il suffit d'envoyer certains types de paquets à destination du routeur lui-même, en utilisant des protocoles qui n'ont jamais servi, pour que les paquets restent dans la file d'attente et ne soient jamais traités. La taille de la file d'attente étant par défaut de 75 entrées, rapidement l'interface du routeur ne répond plus. Si Cisco a révélé ce problème c'est sans doute qu'il y a été contraint et donc que le problème a du être connu de certains, dont les intentions n'étaient plus sous contrôle.

Ce déni de service aurait pu affecter très grandement l'Internet en étant intelligemment utilisé. Une organisation malveillante aurait pu obtenir un effet dévastateur. C'est donc un évènement majeur comme l'Internet n'en a pas connu depuis ses débuts.

Cisco a prévenu les opérateurs français 48h avant la diffusion de l'avis, peut-être d'autres encore plus tôt, aussi, toute attaque généralisée a été annihilée car non seulement les équipements qui sont au coeur de l'Internet ont été corrigés ou protégés, mais la plupart des opérateurs ont aussi filtré le trafic Internet lui-même qui permet d'attaquer.

Il est en effet facile de se protéger, soit en mettant à jour son IOS, mais quand cette opération est trop délicate il suffit de filtrer le trafic vers le routeur en autorisant par exemple que les protocoles TCP, UDP, ICMP et les protocoles de routage.

Plus difficile à expliquer sont les explications détaillées que Cisco a publié 24h après la diffusion de son premier avis. Le premier avis demandait un travail d'expert pour en déduire l'exploitation de la faille. Le second avis donnait des explications simples sur les listes de contrôle d'accès à implémenter mais a aussi permis en quelques heures la publication d'une exploitation, qui a rendue la situation tendue, même si aucune catastrophe ne s'est produite.

Le problème vient d'une erreur de programmation dans le logiciel IOS, dans une partie jamais implémentée dans le matériel ce qui explique que la faille soit valable pour tous les équipements. C'est une erreur très ancienne qui montre qu'une faille de sécurité logicielle peut rester des années dans un code diffusé à beaucoup d'exemplaires sans que personne ne s'en aperçoive. Un routeur aiguille par principe tous les protocoles, mêmes ceux qui ne servent jamais, mais n'aurait peut-être pas du les traiter quand ils lui sont adressés, le code correspondant n'ayant sans doute jamais été testé.

Le déni de service se réalise très facilement à l'aide d'un utilitaire comme hping. La facilité déconcertante de mise en oeuvre du déni de service laisse présager des usages malveillants futurs. Ainsi, un ver ou un virus arrivant sur un poste de travail pourraient aisément attaquer un réseau interne et y faire tomber les routeurs et commutateurs Cisco. Si l'Internet est désormais protégé, les équipements au coeur des réseau d'entreprise n'auront que trop rarement été mis à jour et n'ont généralement pas de listes de contrôle d'accès pour se protéger.

Enfin, si cette faille dans un logiciel est si grave, c'est que les systèmes d'informations reposent sur un équipement dominant. L'interopérabilité permet la diversité et cet évènement doit rappeler à ceux qui font de la monoculture Cisco un argument de vente de leur compétence les désavantages de cette monoculture.

    Hervé Schauer

Last modified on 29 July 2003 at 11:52:00 CET - webmaster@hsc.fr
Information on this server - © 1989-2013 Hervé Schauer Consultants