Les routeurs Cisco prennent de nouveau le devant de la scène

Il y a trois ans, Michael Lynn, chercheur sur la sécurité, a mis en lumière les produits de Cisco lorsqu'il a expliqué comment il avait exécuté un simple programme de «shellcode» sur un routeur sans autorisation. La conversation controversée de Lynn était la plus grande histoire à Black Hat 2005. Il a dû quitter son travail de jour pour contourner une interdiction de l'entreprise de discuter de Cisco, et lui et les organisateurs de la conférence ont été rapidement poursuivis en justice par Cisco. La société de réseautage a fait valoir que les diapositives de présentation de Lynn contenaient des informations qui violaient les droits de propriété intellectuelle de l'entreprise, et l'exposé de Lynn a littéralement été retiré du contenu de la conférence. Dans une entente de règlement, le chercheur ne pouvait plus discuter de son travail, mais des copies de sa présentation (pdf) ont été postées en ligne.

[Plus d'informations: Les meilleures boîtes NAS pour le streaming et la sauvegarde des médias] L'agent de sécurité John Stewart est remarquablement sincère à propos de l'expérience, affirmant que son entreprise a agi pour les bonnes raisons - protéger ses clients et la propriété intellectuelle - mais est allé trop loin. "Nous avons fait des bêtises", a-t-il dit. "C'est pourquoi j'ai personnellement sponsorisé Black Hat au niveau platine depuis, parce que je pense que nous avions une certaine expiation à faire."

Lynn n'était pas sans travail depuis longtemps. Il a été rapidement happé par le concurrent de Cisco Juniper Networks, mais pendant quelques années après son discours, il n'y avait pas beaucoup de discussions publiques sur le piratage de Cisco, selon Jeff Moss, directeur de Black Hat.

Moss croit que l'économie pourrait avoir certains chercheurs de Cisco sous terre. Tout code qui exploite les vulnérabilités de Cisco est si prisé que tout pirate informatique qui choisit de divulguer ses découvertes, plutôt que de les vendre à une société de sécurité ou à un organisme gouvernemental, cède souvent beaucoup d'argent, a déclaré M. Moss. La vulnérabilité de Mike Lynn valait environ 250 000 $ US, estime-t-il.

Mais cette année, les choses se sont ouvertes. Les organisateurs de Black Hat planifient trois conférences sur les routeurs Cisco et le système d'exploitation interréseau qu'ils gèrent. "Tout à coup, cette année, beaucoup de choses se sont déchaînées", a déclaré Moss.

Dernièrement, avec Microsoft Windows n'est plus le terrain fertile pour la chasse aux bugs, les chercheurs cherchent d'autres produits à pirater. Et les routeurs de Cisco sont une cible intéressante. Ils contrôlent plus de 60% du marché des routeurs, selon le cabinet de recherche IDC.

"Si vous possédez le réseau, vous possédez l'entreprise", a déclaré Nicolas Fischbach, responsable de l'ingénierie réseau et de la sécurité chez COLT Telecom, fournisseur de services de données. "Posséder le PC sous Windows n'est plus vraiment une priorité."

Mais les routeurs de Cisco constituent une cible plus difficile que Windows. Ils ne sont pas aussi bien connus des pirates informatiques et ils existent dans de nombreuses configurations, de sorte qu'une attaque sur un routeur peut échouer une seconde. Une autre différence est que les administrateurs de Cisco ne téléchargent et n'exécutent pas constamment de logiciels.

Enfin, Cisco a fait beaucoup de travail ces dernières années pour réduire le nombre d'attaques pouvant être lancées contre ses routeurs depuis Internet, selon Fischbach. "Tous les exploits de base, vraiment faciles que vous pourriez utiliser contre les services réseau sont vraiment partis", a-t-il dit. Le risque d'avoir un routeur bien configuré piraté par quelqu'un de l'extérieur de votre réseau d'entreprise est "très bas".

Cela n'a pas découragé les derniers chercheurs en sécurité

Il y a deux mois le chercheur de Core Security Sebastian Muniz a montré de nouvelles façons de construire des programmes rootkit difficiles à détecter pour les routeurs Cisco, et cette semaine, son collègue, Ariel Futoransky, donnera une mise à jour de Black Hat sur les recherches de l'entreprise dans ce domaine.

En outre, deux chercheurs de l'Information Risk Management (IRM), un cabinet de conseil basé à Londres, projettent de publier une version modifiée du GNU Debugger, qui permet aux pirates de voir ce qui se passe lorsque le logiciel Cisco IOS traite leur code. Gyan Chawdhary et Varun Uppal ont examiné le travail de Lynn. En particulier, ils ont examiné de près la façon dont Lynn pouvait contourner une fonctionnalité de sécurité IOS appelée Check Heap, qui balaie la mémoire du routeur pour connaître le type de modifications permettant à un pirate informatique d'exécuter du code non autorisé sur le système. Ils ont découvert que, bien que Cisco ait bloqué la technique utilisée par Lynn pour vérifier Check Heap, il y avait encore d'autres façons de glisser leur code sur le système. Après la révélation de Lynn, Cisco "a simplement patché le vecteur", a déclaré Chawdhary. «En un sens, le bogue demeure».

En modifiant une partie de la mémoire du routeur, ils ont pu contourner Check Heap et lancer leur shellcode sur le système, a-t-il dit.

Le chercheur Lynn crédité propre recherche possible, Felix "FX" Lindner, parlera également de piratage de Cisco à Black Hat. Lindner, responsable de Recurity Labs, prévoit de sortir son nouvel outil d'investigation Cisco, appelé CIR (Cisco Incident Response), qu'il a testé en beta ces derniers mois. Il y aura une version gratuite, qui va vérifier la mémoire d'un routeur pour les rootkits, tandis qu'une version commerciale du logiciel sera capable de détecter les attaques et d'effectuer une analyse légale des appareils.

Ce logiciel donnera aux professionnels du réseau comme Fischbach pour revenir en arrière et regarder la mémoire d'un appareil Cisco et voir si elle a été falsifiée. "Je pense qu'il y a une utilité pour cela", a-t-il dit. «Pour moi, cela fait partie de la boîte à outils quand vous faites des analyses criminelles, mais ce n'est pas le seul outil sur lequel vous devriez compter.»

Il existe toujours des obstacles majeurs pour tout attaquant de Cisco, dit Stewart. Par exemple, de nombreux attaquants hésitent à pirater les routeurs, car s'ils commettent une erreur, ils détruisent tout le réseau. "Nous obtenons en quelque sorte une passe parce que personne ne veut singe avec l'infrastructure qu'ils utilisent", a-t-il dit. "C'est comme si on se fichait de l'autoroute alors qu'on essayait d'aller dans une autre ville."

Bien que Cisco ne soit pas inquiété pour la sécurité, Stewart ne prend rien pour acquis.

En fait, il Il a admis que sa compagnie a eu de la chance jusqu'à maintenant et il sait que cela pourrait changer si assez de gens comme Lindner commencent à travailler sur le problème. "Nous avons du temps", a-t-il dit. "Nous avons l'opportunité d'être meilleurs, et nous devrions continuellement investir pour abaisser la surface d'attaque."