Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Bron: CERT/CC, submitter: Visjes

Cisco logoHet CERT/CC heeft een bericht doen uitgaan waarin de instelling bezitters van Cisco-routers waarschuwt voor een ernstige fout. Alle routers die gebruikmaken van IOS-software en IPv4-pakketjes routeren zijn een potentiŽle kandidaat voor een DoS-aanval. De routers die IPv6 afhandelen hebben geen last van de fout. Door het sturen van een speciaal IPv4-pakketje naar de router, kan de aanvaller het apparaat opdracht geven geen dataverkeer meer te verwerken. Achterliggende netwerken komen plat te liggen en de router is sterk verminderd beschikbaar. Een patch voor dit probleem is echter al beschikbaar gesteld door Cisco.

Moderatie-faq Wijzig weergave

Reacties (44)

De routers die IPv6 afhandelen hebben geen last van de fout.
Kleine niet onbelangrijke aanpassing: routers die ALLEEN IPv6 afhandelen hebben er geen last van.

Op dit moment is er (gelukkig) nog geen exploit beschikbaar. Laten we hopen dat alle Cisco users van wat grotere netwerken snel updaten, aangezien routers toch zorgen voor de internet connectiviteit.

Als ik de advisory mag geloven is het sturen van 1 pakket al voldoende om een hele interface op de router plat te leggen. In het geval van een provider zou een klant zo bijvoorbeeld het hele netwerk van een provider plat kunnen leggen. Geen leuke gedachte.

[edit]
Over de reputatie van Cisco, daar heeft Juniper (een concurrent) hele leuke cartoons over: http://www.juniper.net/cartoons/ :D
Op dit moment is er (gelukkig) nog geen exploit beschikbaar
je bedoelt dat er nog geen script-kiddy tool is om dat pakketje te sturen? Een beetje bitch maakt natuurlijk zijn eigen pakketje in een hex-editor ;)

edit: OMG.. die cartoons :D
Om exact te zijn zijn er 75 pakketjes benodigd om de interface onbruikbaar te maken. Je hebt gedeeltelijk gelijk dat je 1 pakketje nodig hebt. Maar dit 1e pakketje zal op de hold-queue van de interface blijven staan, deze is standaard 75 pakketten groot. Dus als je er 75 verstuurd zal de interface geen pakketen meer accepteren en is dus de router nutteloos gemaakt.

De advisory zegt wel om wat voor soort pakketten het gaat. (De geupdate advisory tenminste)
Op dit moment is er (gelukkig) nog geen exploit beschikbaar.
Inmiddels is de exploit gereconstrueerd en gepubliceerd.
Er zijn wel al degelijk expoits bekend, als je de thread op slashdot leest zie je dat daar ook al wel problemen zijn! Maar misschien dus nog niet officieel.

Wat ik trouwens wel een beetje "fout" vind is dat je een customer contract moet hebben om de patch te krijgen.

Er staat wel een emailadres waar je, de patch gratis kan krijgen, maar nadat ik daar een mailtje naar heb gestuurd kreeg ik het antwoord terug dat ik niet geregistreerd was en dat ik daarom de patch niet kon krijgen.

Dus ga ik nu maar weer met de provider, waar de router is gekocht, aan de slag.

Ik vind eigenlijk dat dit toch echt een patch moet zijn die gewoon moet kunnen worden gedownload... Of zou hier een goed reden voor zijn?
Wat ik trouwens wel een beetje "fout" vind is dat je een customer contract moet hebben om de patch te krijgen.
Customers who do not hold a Cisco service contract and customers who purchase through third-party vendors but are unsuccessful at obtaining fixed software through their point of sale should get their upgrades by contacting the Cisco Technical Assistance Center (TAC). TAC contacts are as follows.

+1 800 553 2447 (toll free from within North America)

+1 408 526 7209 (toll call from anywhere in the world)

e-mail: tac@cisco.com

Als je dus echt haast hebt (en dat heb je neem ik aan): gewoon bellen. Zal heus wel goedkomen, Cisco kennende...
Netjes dat ze meteen een volledige lijst op het net zetten met welke versies wel en niet vulnerable zijn, welke versie je het beste kunt gebruiken om het gat te dichten, en een workaround om het probleem (tijdelijk) te dichten dmv een access-list voor als je niet in staat bent direct de software te updaten.

Ik ben inmiddels niet meer vulnerable :*)
Een serieuse deuk in de reputatie van Cisco als betrouwbare leverancier van kwaliteitsproducten, lijkt me zo. Hoewel er een patch beschikbaar is zal het nog heel lang duren eer dat alle routers gepatched zijn.
Uit de beschrijving valt af te leiden dat zo'n "aanval" van een pakketje enorm makkelijk is (gewoon dat ene pakketje naar hele ranges van IP's laten sturen en je richt al heel wat aan).

edit:
Damn, gedeeltelijke dubbelpost. Hoe komt dat nu? k kn tog typ 300wrdn pr minut?
als het idd om 1 packet gaat kan je met een relatief smalle internet verbinding een grote DoS attack uitvoeren waar veel mensen en bedrijven last van hebben.
Cisco routers zijn volgens mij veel gebruikte apparaten bij isp's etc, correct me if i'm wrong, en zullen de kosten van zo;n aanval niet te overzien zijn :S
Cisco routers zijn volgens mij veel gebruikte apparaten bij isp's etc
Sterker nog, zo'n beetje alle core routers van het internet zijn Cisco dozen. ;)

Maar ook veel kleinere bedrijven hebben zo'n ding hangen.. (als soho oplossing etc.)

Ik denk wel dat de KPN het erg druk gaat krijgen, willen ze al hun cisco routers (die zij in beheer hebben) willen patchen.. Net als versatel.

Ter info: Het netwerk wat alle justitiŽle arrondissementen aan elkaar verbind draait over cisco apparatuur, alles in beheer bij knp
En zover ik weet bevat bijna elke Sisco Router het IOS als OS.. Of niet?
klopt.

Het enige voordeel is dat bij de !!meeste!! routers de IOS remote te upgraden is, dat houdt feitelijk in dat er niet 10000-en servicemonteurs als een gek door het land gaan racen om alles te vervangen.
Alle backend routers zijn allemaal Cisco. De core routers zijn meestal Nortel Networks.
Ik vind dit slordig... tenminste: het feit dat ze er nu pas mee komen. Volgens mij hadden ze hier al veel eerder een patch/update voor kunnen verwerken. Jammer... maar het is dan wel weer netjes dat ze een patch uitbrengen :z
huh?
Deze fout wordt nu pas ontdekt. Of denk jij dat ze er gewoon naar hebben staan te kijken en gezegd:
"Hee, zie je dat? Met een packet kan je dat ding plat krijgen"
"Hmm, zullen we het zeggen?"
"Naaah, ze komen er vanzelf wel achter"

Dacht het niet. Cisco heeft op alle mogelijke plaatsen routers hangen. Die heren bedenken zich wel 2 keer eer dat ze of iets zeggen (of juist niet natuurlijk!)


En er is al een patch beschikbaar. Dus what's your point.
De fout was schijnbaar al eerder ontdenkt omdat er begin deze week al nood onderhoud was op veel grote netwerken (L3, Qwest, MFN/Abovenet, etc etc).
Cisco heeft dus eerst de grote netwerken tijd gegeven, en toen de patch uitgebracht (nog steeds zonder de precieze flaw prijs te geven). Pas 1 dag daarna zijn er meer details vrijgegeven. En gezien er geen exploit nog lijkt te zijn is dat wel een redelijke nette manier om dit verholpen te krijgen denk ik.
Netjes? Ze zullen wel moeten.

Heb wel medelijden met degene die deze bug heeft laten zitten. Die zal echt niet blij zijn. (en wellicht werkeloos)
Maar het is ook de fout van de testers die hadden het moeten testen.
Maar ja, als een hele keten van mensen allemaal foutjes maken dan krijg je toestanden als deze. Erg onhandig maar het gebeurt nou eenmaal.
(Ook bij bedrijven als Juniper)
Dit is best een serieus probleem. Met een simpel programmatje kan je dat pakketje in principe in een erg korte tijd naar elk ip adress sturen dat er maar is. Dit kan veel schade opleveren.
Ik weet niet hoe groot dat ip packetje is maar hij kan iig max. 1,5 kb zijn dat maal 2^32 (aantal ip's) is wel zo'n 6,5 Terrabyte aan upload verkeer. Dus alle ip adressen zou ik niet proberen tenzij je een Gb verbinding heb.
Maar desondanks is het idd zeer gemakkelijk om veel routers in een zeer korte tijd plat te leggen.
Het is ook vrij gemakkelijk om ip's van router te vinden, doe maar een trace, alles behalve de eindbestemming en jij zelf is een router. Je moet alleen geen routers pakken die te dicht in de buurt zitten anders ben je uit gespeelt.
Nee, daar heb je gelijk in, dat gaat niet vanaf een computertje. maar... een bekende truuk om een DOS attack uit te voeren is door een virus te schrijven, die zich te laten verspreiden, en op een ingeprogrammeerde datum van alle locaties het bewuste IP pakketje te versturen. Het virus moet in dit geval ook nog niet uit te vinden welke de dichtsbijzijnde router is. Het verschil is hier alleen dat niet iemands site plat ligt oid, maar heel internet.... slik!
Dit kan nog wel eens voor redelijk grote problemen gaan zorgen. Er zijn genoeg bedrijfen die wel routers hebben staan. Maar die niet actief worden beheerd. Wanneer deze exploit toegepast zou worden in een zichzelf verspreidend virus zou het een zeer effectieve netwerk killer kunnen worden. De veroorzaakte schade zou door conventionele virusscanners niet te verhelpen zijn.
zon killer sloopt anders wel de tak van de boom waar hij op zit dus verspreiden kan dan ook neit meer. Virussen bestaan door een goed functionerende internet backbone die ga je niet slopen
Als het virus wacht tot een bepaalde datum voor ie het packetje verzend, dan kan het virus al voldoende aanwezig zijn op internet om alles plat te krijgen.
Afgelopen donderdag is KPN begonnen direct de routersfirmware te updaten. Zo ook bij mij op het bedrijf. Ze hebben vast een scriptje gemaakt dat alle routers afgaat en even update, indien mogelijk.
Duurde notabene wel even 45 minuten voor ze klaar waren.......
Tja even met een sciptje updaten doe je niet op een groot netwerk. Je wil zeker zijn dat de router na een reboot weer juist op komt. Met enkele tientallen routers zal het altijd wel een keertje misgaan.
Dat scriptje heet 'HP OpenView' of 'CiscoWorks', kan zo maar 30.000 euro's per werkplek kosten, en maakt heel wat minder tiepfoutjes dan een overwerkte router-aap die z'n 251ste Cisco moet updaten.

Dus ja: juist dit soort dingen doe je met een script.
Nou volgens mij wordt er al aardig gebruik gemaakt van de exploit, en wel eerder dan vannacht. :(

Gistermiddag om ongeveer 14:00 ging onze link tussen onze servers bij onze hoofdprovider en de server bij onze andere provider al plat. Dit duurt nog tot op dit moment.

Ik heb onze hoofdprovider gebeld en die zegt dat in ieder geval hun routers op de NL-IX er al last van hebben en waarschijnlijk ook van andere providers.

Maar goed, afwachten dus tot ze het zooitje weer op de rails hebben.
Eergisteren hebben een boel grote ISPs zoals Sprint en Level3 al hun routers al geupdate. Gisteren zat de tech-l mailinglist van AMS-IX vol met mailtjes van engineers over emergency maintenance, dus iedereen is druk aan het upgraden.
Niet helemaal waar.. L3 is nu aan het patchen...
vandaar de halve wereld nu dood is ongeveer..(op Internet wel te verstaan)
We kregen toch anders eergisteren een emergency maintenance notice van Level3 dat ze die nacht gingen updaten. Vast weer eens iets mis gegaan bij ze.
Zou die update ook gelijk een blokkeerinstructie bevatten voor dat gevaarlijke datapakketje? Zo voorkomen ze dat het pakket doorreist naar de dichtsbijzijnde ongepatchte Router.
Dat is vrijwel onmogelijk. Omdat je dan al het verkeer op inhoud moet checken, en dat kost onnoemelijk veel rekenkracht die anders nooit werd gevraagd. En daarvoor hebben de meeste routers dus niet genoeg kracht voor aan boord.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True