|
Le
17 Juillet, Cisco a publié un avis révélant un déni de service
distant sur ses produits.
Ce déni
de service est valable sur toutes les version d'IOS inférieures
à 12.3, pour tous les types d'équipements, qu'il soient entrée
de gamme ou très haut de gamme, routeurs ou commutateurs.
Il suffit d'envoyer certains types de paquets à destination
du routeur lui-même, en utilisant des protocoles qui n'ont
jamais servi, pour que les paquets restent dans la file d'attente
et ne soient jamais traités. La taille de la file d'attente
étant par défaut de 75 entrées, rapidement l'interface du
routeur ne répond plus. Si Cisco a révélé ce problème c'est
sans doute qu'il y a été contraint et donc que le problème
a du être connu de certains, dont les intentions n'étaient
plus sous contrôle.
Ce déni
de service aurait pu affecter très grandement l'Internet en
étant intelligemment utilisé. Une organisation malveillante
aurait pu obtenir un effet dévastateur. C'est donc un évènement
majeur comme l'Internet n'en a pas connu depuis ses débuts.
Cisco
a prévenu les opérateurs français 48h avant la diffusion de
l'avis, peut-être d'autres encore plus tôt, aussi, toute attaque
généralisée a été annihilée car non seulement les équipements
qui sont au coeur de l'Internet ont été corrigés ou protégés,
mais la plupart des opérateurs ont aussi filtré le trafic
Internet lui-même qui permet d'attaquer.
Il est
en effet facile de se protéger, soit en mettant à jour son
IOS, mais quand cette opération est trop délicate il suffit
de filtrer le trafic vers le routeur en autorisant par exemple
que les protocoles TCP, UDP, ICMP et les protocoles de routage.
Plus
difficile à expliquer sont les explications détaillées que
Cisco a publié 24h après la diffusion de son premier avis.
Le premier avis demandait un travail d'expert pour en déduire
l'exploitation de la faille. Le second avis donnait des explications
simples sur les listes de contrôle d'accès à implémenter mais
a aussi permis en quelques heures la publication d'une exploitation,
qui a rendue la situation tendue, même si aucune catastrophe
ne s'est produite.
Le problème
vient d'une erreur de programmation dans le logiciel IOS,
dans une partie jamais implémentée dans le matériel ce qui
explique que la faille soit valable pour tous les équipements.
C'est une erreur très ancienne qui montre qu'une faille de
sécurité logicielle peut rester des années dans un code diffusé
à beaucoup d'exemplaires sans que personne ne s'en aperçoive.
Un routeur aiguille par principe tous les protocoles, mêmes
ceux qui ne servent jamais, mais n'aurait peut-être pas du
les traiter quand ils lui sont adressés, le code correspondant
n'ayant sans doute jamais été testé.
Le déni
de service se réalise très facilement à l'aide d'un utilitaire
comme hping.
La facilité déconcertante de mise en oeuvre du déni de service
laisse présager des usages malveillants futurs. Ainsi, un
ver ou un virus arrivant sur un poste de travail pourraient
aisément attaquer un réseau interne et y faire tomber les
routeurs et commutateurs Cisco. Si l'Internet est désormais
protégé, les équipements au coeur des réseau d'entreprise
n'auront que trop rarement été mis à jour et n'ont généralement
pas de listes de contrôle d'accès pour se protéger.
Enfin,
si cette faille dans un logiciel est si grave, c'est que les
systèmes d'informations reposent sur un équipement dominant.
L'interopérabilité permet la diversité et cet évènement doit
rappeler à ceux qui font de la monoculture Cisco un argument
de vente de leur compétence les désavantages de cette monoculture.
H.S.
Hervé
Schauer dirige le cabinet d'expertise et de conseil Hervé
Schauer Consultants. Après des études d'informatique à
l'Université Paris 6 (Jussieu), il est un des pionniers de
la sécurité informatique en France, avec notamment la publication
dès 1987 d'une série d'articles sur la sécurité Unix et la
détection d'intrusion. Il fonde son propre cabinet en avril
1989, au sein duquel il a été l'un des inventeurs du relayage
applicatif (proxy services), présenté à Usenix Security en
1992, et utilisé par la suite dans les firewalls.
LIENS
UTILES :
- Avis
de Cisco (mis à jour régulièrement)
|
