Cisco Hack

Am dat peste un articol care spune:

“The bottom line is that before, all IOS exploits had to know the exact IOS image running on the target to get code execution. This is approximately a 1 to 100,000 chance, [and] a professional attacker doesn’t risk his 0-day exploit when the odds are stacked against him like that,” Linder says. “I [demonstrated] that at least on one group of Cisco routers, there is a way to execute code without knowing the IOS image version [they are] running.”

Din păcate, articolul (link aici) este foarte vag, și nu spune mai nimic despre vulnerabilitatea folosită (faptul că „putem ataca un router dacă există o vulnerabilitate IOS” mi se pare destul de LMC* ). În schimb, PDF-ul cu prezentarea (link aici ) explică mai multe – se pare că atacul se bazează pe versiunea de ROMMON, și nu pe versiunea de IOS. Iar dacă versiunea de IOS variază foarte mult de la router la router, versiunile de ROMMON sunt mult mai puține (și de multe ori nu se poate face update de ROMMON pe un router). În plus, se adaugă câteva „tricks” menite să facă atacul portabil pe mai multe versiuni de IOS.

Soluții? Well… just the basics:

  • filtrare agresivă a traficului care are ca destinație router-ul
  • update de IOS, pentru a elimina eventualele vulnerabilități descoperite. Din nou, pare LMC*, dar… dacă PC-ul de acasă îmi permit să îl rebootez de 10 ori în 2 zile din cauza update-urilor (vezi post-ul anterior 😛 ), nu același lucru îl pot spune despre router-ul care îmi ține 1000 de clienți în spate. Și care de multe ori are uptime de ani de zile.

*La Mintea Cocoșului, in case you were wondering 😛

Leave a Comment