Une nouvelle technique pour la fiabilité et la portabilité des codes d'exploitation des routeurs Cisco

Par Rédaction, secuobs.com
Le 06/01/2009

---

Résumé : FX, du groupe Phenoelit, a présenté lors de la conférence 25c3 une nouvelle technique qui vise à assurer la fiabilité et la portabilité des codes destinés à l'exploitation des dépassements de mémoire tampon pour les appareils de routage de marque Cisco. - Lire l'article



Lors de la dernière édition de la conférence 25c3, organisée par le Chaos Computer Club lors de la fin d’année 2008 en Allemagne, Felix Lindner, aussi connu sous le pseudonyme FX et appartenant au groupe Phenoelit ( lien ), a effectué une présentation ( lien ) sur la fiabilité des codes d’exploitation relatifs aux vulnérabilités de dépassement de mémoire tampon sur les routeurs de marque Cisco ( lien ).

Le principal problème, posé à l’heure actuelle par les routeurs Cisco vis-à-vis de l’exploitation des Buffer Overflows ( lien ), reste qu’il existe presque autant d’images système différentes que d’appareils de routage de cette marque en circulation dans le monde ; cela rend chacun de ces appareils unique en terme d’exploitabilité. Il est alors difficile dans ce contexte de définir un code universel d’exploitation qui serait compatible avec l’ensemble des images système qui y sont installées.

Dès lors que les espaces d’adressages mémoires différent au sein de ces différentes images système, l’ensemble des codes d’exploitation, développés pour ces appareils, ont jusqu’alors été caractérisés par le fait que chacun d’entre eux ne fonctionnait réellement avec succès que sur l’appareil utilisé pour les recherches qui ont abouti à son développement ; les essais de portabilité de ces codes pour l’exploitation d’autres appareils restant « malheureusement » des échecs.

La présentation en question amène une réponse visant à éradiquer ces problèmes de diversité et d’incompatibilité, une nouvelle technique d’exploitation y ayant été introduite en ce sens. Elle se base concrètement sur l’utilisation de certaines parties du code directement accessibles depuis le composant ROMmon (ROM monitor mode - lien ).

Un composant qui est, entre autres, responsable du chargement initial du système d’exploitation Cisco IOS ( lien ) lors du démarrage de ces appareil et qui peut par exemple être utilisé afin de récupérer une image système Cisco IOS sur un serveur TFTP ( lien ) afin ensuite de l’y installer.

Le composant ROMmon présente en fait plus particulièrement l’avantage d’être toujours positionné dans la pile mémoire à des adresses qui restent plus ou moins constantes selon les versions ; ces versions étant peu nombreuses et les adresses relatives à ROMmon étant toujours situées à la fin de la pile mémoire, l’utilisation de ce composant semble une bonne stratégie de développement en vue de faciliter et de fiabiliser les processus liés à ces codes d’exploitation.

Cette technique peut alors être facilement utilisée afin d’injecter des codes toujours plus complexes en vue de mener diverses attaques universelles comme par exemple la compromission des tables de routage de ces appareils. Rappelons que les réseaux IP sont soumis à une hiérarchie de routage, la compromission d’un seul point de cette hiérarchie pourrait avoir des conséquences fâcheuses pour l’intégrité de l’ensemble des points de routage situés en dessous de celui soumis à l’exploitation.

Cette nouvelle technique a en fait été motivée par l’idée de ce à quoi devrait ressembler le développement d’utilitaires propres à l’analyse et à la recherche de preuves en vue d’identifier des injections de codes malicieux dans ce type d’appareil ; celles-ci pouvant être réalisées par des personnes mal intentionnées comme des organisations criminelles ou des gouvernements peu scrupuleux, arguant du fait que ceux-ci sont peut être déjà en possession de techniques similaires à l’heure actuelle.

Les slides de cette présentation sont disponibles ( lien ) sur le site du groupe Phenoelit ; pour plus d’informations sur l’analyse et la recherche de preuves dans les produits Cisco, il peut par ailleurs être utile de consulter le Wiki du site du CIR ( Cisco Incident Response - lien ) dont le lancement de la seconde version du service ( lien ) d’analyse des dumps Cisco IOS avait été annoncé lors de la dernière édition de la conférence PH-Neutral ( 0x7d8 - lien ).

Source : Root Secure / Heise Security ( lien )