Faille du protocol SNMP dans le matériel Cisco basé sur IOS

Par Rédaction, secuobs.com
Le 25/04/2004

---

Résumé : Cisco se voit à nouveau gratifié d’une alerte émanant du CERT US et ce pour la deuxième fois en moins d’une semaine. Cette fois ci le protocole SNMP est en cause. - Lire l'article



Comme nous vous en parlions dans cette article, la société Cisco, spécialiste dans le domaine du reseau d'entreprise, a déjà été touchée cette semaine par la faille "TCP spoofed connexion".

Cette premiere faille affectait les switchs & les routeurs de la marque qui ne sont pas basés sur le systeme d'exploitation propriétaire Internetworking Operating System (IOS), une première alerte du Computer Emergency Response Team américain (CERT US) avait alors été diffusée.

Le CERT est un organisme mondial en charge de la sécurité d'Internet depuis plus de 15 années à l'initiative de l'agence fédérale américaine pour les projets de recherche avancée de défense (DARPA), il a pour rôle de diffuser des rapports concernant les failles découvertes dans les systèmes, la branche US est la plus importante.

Le DARPA a notamment pendant longtemps été à l'origine de financements importants pour le projet OpenBSD, réputé comme l'un des systèmes les plus fiables en terme de sécurité. Ces investissements se sont arrétés récemment et brutalement suite aux déclarations de Théo de Raadt contre la guerre en Irak, Monsieur de Raadt étant l'ingénieur en charge de ce projet !

Cisco se voit donc à nouveau gratifié d'une alerte émanant du CERT US et ce pour la deuxième fois en moins d'une semaine, plus précisement le même jour, le mercredi 21 avril 2004, rappelons également que le 19 de ce mois une faille avait été trouvée dans l'implémentation d'IPSEC sur les VPN Cicso.

IPSec est un protocole sécurisé de niveau 3 comparable au protocol IP non sécurisé, il est destiné principalement à la création de réseaux virtuels privés (VPN) par l'intermédiaire de tunnels de communication sécurisé (tunneling) au sein de réseau public qui ne le sont pas (encapsulation IP de manière quasi transparente), internet par exemple qui est lui basé sur le protocol IP.

Ce sont cette fois çi les produits de la marque basés sur IOS qui sont affectés, aussi bien les switchs que les routeurs cependant toutes les versions ne sont pas concernées. Les Catalysts avec modules ATM ne sont pas vulnérables, le système d'exploitation "propriétaire" se voit offrir une révision "uniquement" dans les releases suivantes : - 12.0S, 12.1E, 12.2, 12.2S, 12.3, 12.3B et 12.3T.

Pour l'heure, cette liste comprend l'ensemble des produits présentant un risque mais Cisco se garde tout de même la possibilité de l'allonger au gré de ses recherches vu le catalogue plétorique de ses produits.

C'est la manière dont les requêtes SNMP (Simple Network Management Protocol) sont gérées par IOS qui est en cause et qui peuvent offrir une vulnérabilité "distante" (Remote) à une personne mal intentionnée ; un nombre suffisant & simultanné de ces requêtes pouvant provoquer un Déni de Service (DoS) sur le matériel.

Le DoS est une attaque complexe dont le but est de rendre inatteignable une machine en envoyant une quantité de donnée importante afin qu'elle ne puisse pas la gérer, les conséquences : - crash des services et/ou reboot sauvage ! Ce genre d'attaque peut provenir d'une seule voir de plusieurs machines, dans ce cas, on appele plus communément cette attaque, un Déni de Service Distribué ou DDoS.

Ces requêtes permettent de "flasher" le matériel actif à base de ces versions d'IOS, ce qui signifie que le matériel ne va pas subir un redémarrage mais qu'il opérera un rechargement de sa configuration, on imagine donc facilement les conséquences de l'arrivée de nombre de ces requêtes sur un même matériel au même moment.

SNMP est un protocole d'administration qui peut être utilisé aussi bien localement qu'à distance, il a été initialement conçu pour administrer les ponts et les routeurs, il est actuellement utilisé pour un grand nombre d'autres services (onduleurs, firewall, nas).

L'utilisation de SNMP est généralement plus que déconseillée, il faut avouer que peu de protocols peuvent se vanter d'un tel historique de failles en tout genre au cours de ces dernières années.

Au programme, procédure d'urgence & mise à jour, pour plus d'infos, rendez-vous içi.