Основные бреши в защите связаны с Cisco IOS и TCP
Деннис Фишер
После того как с разницей в несколько часов Интернет-сообщество получило два сообщения о серьезных пробелах в защите маршрутизаторов, администраторы и операторы сетей поспешили с обновлением ПО, чтобы защитить свои устройства, не дожидаясь новой волны атак.
Более серьезной из двух проблем является критически важная уязвимость программного обеспечения Cisco IOS, управляющего маршрутизаторами и коммутаторами производства Cisco. При обработке определенных запросов SNMP эта ОС неверно интерпретирует сообщения и перезагружает устройство. В результате атакующий может вызвать ошибку типа "отказ в обслуживании" (denial-of-service - DoS) на любом уязвимом устройстве.
План нападения |
Подробности о новых брешах в Интернет-безопасности Брешь в Cisco IOS SNMP д Может привести к краху маршрутизатора (DoS) д Считается, что для использования не нужна высокая квалификация Атака по протоколу TCP д Может прерывать сессии TCP д Затрагивает любые устройства, использующие TCP д Организация атаки может представлять сложность |
Эксперты утверждают, что уязвимостью легко воспользоваться. "Даже начинающий программист мог бы организовать такую атаку, чтобы вывести из строя маршрутизатор", - считает Шоун Гернан, старший технический сотрудник из United States Computer Emergency Readiness Team (г. Питсбург).
Протокол SNMP применяется для отправки сообщений на удаленные машины. Существуют методы, позволяющие смягчить последствия этого пробела в защите систем, использующих SNMP v1 или SNMP v2c. Однако любое сообщение, направленное на машину по протоколу SNMP v3, перезагрузит устройство. Об этом говорится в недавно опубликованном бюллетене US-CERT.
Другая проблема связана с новым типом атак через хорошо известную брешь в протоколе TCP, которая позволяет нападающему прервать TCP-сессию. У многих экспертов такой сценарий вызывает беспокойство, учитывая повсеместное распространение TCP и тот факт, что в Интернете уже циркулируют инструменты, позволяющие организовать атаку.
Проблема заключается в том, что сессия TCP может быть перезагружена при посылке на каждую участвующую в ней машину специально подправленных пакетов RST (reset) или Syn (synchronize). Эксперты в области безопасности знали, что такие атаки возможны, но считали их маловероятными ввиду сложности угадывания случайных чисел, применяемых при установлении сессий TCP. Однако Пол Уотсон из Милуоки, изучающий проблемы безопасности, обнаружил, что машины, получающие пакеты TCP, будут принимать пакеты с номерами, лежащими в определенном диапазоне числовой последовательности.
"Атакующему инструменту потребуется не более 15 с, чтобы изменить размеры окна, подобрать число и вызвать крах устройства", - заявил Крис Роланд, вице-президент исследовательской группы X-Force из корпорации Internet Security Systems.