CISCO IOS: routers degli ISP a rischio DoS

Sta circolando la notizia secondo cui l’IOS Cisco sarebbe vulnerabile ad un DoS che consentirebbe il reboot dei routers degli ISP più disparati. Il problema sembra si presenti quando viene interpretato il comando “show ip bgp regexp” con espressioni regolari particolari.
Il risultato è che il router si riavvia e deve ricostruire la propria tabella di routing BGP.
Se la cosa si verifica per più volte in successione, può succedere che il router venga “ignorato” dai dispositivi di altri providers (per un certo intervallo), questo perchè il suo continuo riavvio viene “marcato” come route non affidabile/disponibile.
Conseguenza più grave è quindi che l’intera rete dell’ISP risulti non più raggiungibile.

Di solito, ogni ISP fornisce dei server pubblici che sono accessibili via Telnet e che possono essere usati per eseguire il comando in questione. I route servers sono usati per recuperare informazioni sul routing tra ISPs.
Oltre all’accesso Telnet, alcuni providers forniscono accesso via Looking Glass web interface, che altro non è che un wrapper Telnet. Anche questa può essere quindi sfruttata per passare comandi “modificati”.
Nonostante questa vulnerabilità risulti quindi molto facile da sfruttare, l’effetto di isolare segmenti di rete è difficilmente raggiungibile. I grossi ISP infatti usano route server dedicati all’unico scopo di restituire informazioni, ma non di effettuare il routing vero e proprio. Le cose possono pero’ essere leggermente diverse quando si ha a che fare con providers più piccoli, che magari usano gli stessi dispositivi per entrambi gli scopi, per una pura questione di risparmio economico.
Per il momento attraverso i canali ufficiali Cisco non ha rilasciato alcuna informazione o aggiornamento per l’IOS.
Come workaround, alcuni ISP hanno cominciato a filtrare particolari espressioni regolari sui servers Looking Glass.
Per quanto riguarda gli accessi via Telnet è sufficiente disabilitare il comando “show ip bgp regexp“.

LINKS:
DoS vulnerability in Cisco IOS compromises the routers of Internet providers, news by Heise-Security

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *