На главную
Карта сайта
Написать письмо в АСПЕКТ СПб
Главная /  О компании /  Новости / Уязвимость Cisco IOS при атаке специально сфабрикованными пакетами OSPF

23.08.04 Уязвимость Cisco IOS при атаке специально сфабрикованными пакетами OSPF

Устройства Cisco, работающие под управлением Internetwork Operating System (IOS) и настроенные на использование протокола Open Shortest Path First (OSPF), содержат уязвимость, позволяющую хакерам организовывать атаки типа Отказ в обслуживании (Denial of Service) путем использования специально сфабрикованных OSPF-пакетов. Если протокол OSPF не запущен (состояние по умолчанию), устройства не подвержены указанной уязвимости.
Уязвимость содержится в следующих версиях программного обеспечения Cisco IOS 12.0S, 12.2 и 12.3. Релизы, базирующиеся на версиях 12.0, 12.1, и более ранние не затронуты.

Технические детали:

Протокол маршрутизации OSPF определяется в RFC 2328 и служит для управления маршрутизацией IP-пакетов внутри автономных систем (AS). Уязвимость проявляется при обработке пакетов OSPF и может быть использована для вызова перезагрузки системы. Для успешного использования уязвимости необходимо задать комбинацию параметров OSPF, включая Area number, маску подсети и значения таймеров, используемых на атакуемом интерфейсе.
Устройство Cisco, атакуемое сфабрикованными пакетами, уходит в перезагрузки и восстанавливает работоспособность в течение нескольких минут. Периодическая отправка сфабрикованных пакетов OSPF может использоваться для организации продолжительной DoS-атаки. Ошибка зарегистрирована под номером CSCec16481.

Обходные пути:

  • Использование аутентификации OSPF

Включение механизма аутентификации позволяет решить проблему уязвимости, поскольку пакеты, не содержащие правильной идентификационной информации, игнорируются OSPF. Настоятельно рекомендуется использование алгоритма MD5, поскольку при передаче ключей открытым текстом велика вероятность их компрометации.

  • Блокирование нежелательного трафика

Блокирование транзитного трафика — непростая задача, но всегда можно выделить трафик, который не должен адресоваться внутренним устройствам сетевой инфраструктуры. Такой трафик необходимо блокировать на границах сети с использованием списков доступа (access-lists).

Получение исправленного программного обеспечения:

  • для клиентов, имеющих сервисные контракты:

Клиенты с контрактами должны получить обновленное программное обеспечение через их регулярные каналы обновления. Для большинства клиентов это означает, что обновления должны быть получены через Software Center на веб-сайте компании Cisco Systems http://www.cisco.com.

  • для клиентов, использующих поддержку сторонних компаний:

Клиенты, имеющие продукты Cisco Systems и использующие поддержку партнеров Cisco, авторизованных торговых посредников или сервис-провайдеров, должны связаться с этими организациями и получить обновление бесплатно.

  • для клиентов без сервисных контрактов:

Клиенты, у которых нет сервисного контракта или контракт закончил свое действие, должны получить исправленное программное обеспечение, связавшись с Cisco Technical Assistance Center (TAC).

Контакты TAC:
+1 408 526 7209 (для международных звонков)
e-mail: tac@cisco.com
При обращении в TAC необходимо знать серийный номер оборудования.

Подробная информация о версиях софта, подверженных уязвимости, и рекомендуемых путях миграции доступна на сайте Cisco Systems: http://www.cisco.com/en/US/products/products_security_advisory09186a008029e189.shtml

 
© АСПЕКТ СПб, 2009. Все права защищены.